上海电信华勤HGU421v3破解（应该也可以适用其他省份）

homey123

0 D; t, W$ x% f" t: \

本人2012年10月份安装的光纤上网，一个华勤的光猫，一个无线AP，无线AP暂不去管它。只是这个光猫太让人纠结了，P2P的应用都超慢。经过海量搜索后终于搞掂了这个小野猫了（但不是绝对完美，原因后面第6步会提到），PS：百度搜索真不能用，指望百度给结果可能这辈子都没戏了。还是GOOGLE给力，下面所有的信息都是通过GOOGLE+GoAgent搞掂的。

• HGU421设备基本信息：
  # n' Q: F6 f( R8 q3 F: I! I设备型号 : HGU421 v3
  设备标识 : XXXXXX-XXXXXXXXXXXXXXXXXX
  9 a" u$ o) _3 Z, ]! E7 n硬件版本 : A0B
  + I& U- x7 W/ D! w软件版本 : 132.UYY.0.B.0.SH
• 所需设备
  " h: \: T4 Z( w3 I' v) U0 ]1 ^Windows操作系统
  & w1 C" N3 X/ F0 H' T! Z) UHGU421 v3光猫
  USB转TTL小板，，淘宝上有卖，价格10-20元左右，别往了让掌柜带上杜邦线，不然没法连接板子。
  * T8 B" F- R) u" l9 \8 ^9 \3 H: z十字螺丝刀
  putty.exe，串口/Telent连接用软件。（http://www.putty.org/）
• TTL连接光猫
  连接光猫的原教程在（https://www.chinadsl.net/forum.php?mod=viewthread&tid=79331）
  + R) X# Q9 ^4 \1 b打开光猫的外壳（去掉背面的４个胶皮踮脚就可以看到螺丝了），用杜邦线连接到板子上
  : d+ D% M, X" i( `' u
  , P& e. q+ {) @# b5 [, A5 t2 U线序为GND，空，TX，RX，空。空代表什么也不需要接，所以只需要三根杜邦线就可以了，一根连接USB转TTL小板与光猫的GND，另两根分别接小板与光猫的TX/RX。
  ! r9 @/ @/ b, o5 A+ E打开putty.exe连接到串口，波特率为115200。
  光猫接通电源，这时候应该就可以在串口界面上看到打印了。
• 登陆串口
  接通电源后等待两三分钟，在这一段时间内串口应该会打印很多启动信息，等启动差不多完毕后，敲回车应该就可以看到下面的登陆提示了
  0 l5 m$ k9 C( h$ D- qBCM96828 Broadband Router
  Login:
  7 ?/ S/ f/ i: D% D
  用户名密码就用上面图片上的，这时候基本上就可以完全控制光猫了。
• 获取telecomadmin的超级用户密码。
  在">"提示符下输入dumpcfg会打印配置信息出来，查找telecomadmin字符串就可以得到超级用户密码了。
  
  至此为止我们应该就可以用telecomadmin的用户登陆光猫的WEB界面了，设置神马端口影射，DMZ主机，PPPoE用户名密码应该都没问题了。BT/eMule又可以全力开动了。当然还是吸血雷最给力了：）
• 其他
  这款猫的调试方法在这里可以找到（http://wenku.baidu.com/view/9edfdcdece2f0066f53322e1.html），里面248页提到了一个Super User，用Super User登陆可以登陆许多隐藏的Web界面，经过测试，这些隐藏的Web的界面用telecomadmin用户是无法访问的。所以猜测光猫实际上应该存在三个权限级别的用户：
  useradmin: 给普通用户使用的账号，密码在光猫背面的贴纸上
  ! l1 |0 E( I+ Z' H: N2 utelecomadmin: 给电信管理员使用的账号
  Super User: 最高权限级别，应该是厂家内部使用的
  / @9 A/ B, t1 y. j等待高手能把Super User给破了，基本上这款小野猫就可以被完全驯服了。
• 小技巧
  , g' x) Z8 p9 s登陆串口后，可以带开telent服务，这样以后再次登陆光猫就不用串口了。在串口下输入：
  / `* v; ^$ p# P0 ~# J, F$ b> localservice telnet enable
  0 @% E8 l0 G6 [: n- Z> save
  4 O2 `+ j" b, Q' M当然这样也有一个小问题，这个telnet服务也可以被外部访问，例如光猫pppoe的外部ip是202.19.11.22，这个IP地址也是可以从外部telnet登陆的。目前我的解决方法就是每次重启光猫后，telnet到光猫然后关闭telnet服务：
  4 F4 c6 q8 N7 G+ r& q/ [> localservice telnet disable
  虽然麻烦点，好在光猫一般几个月也不重启一次。（另外还有个ftp服务可以用localservice ftp enable开启，用户名密码都是e8ftp，暂时用不上所以没开）
  telnet用户名密码都是e8telnet
• 光猫根文件系统下所有文件列表：
  
  可以在/webs目录下查看到所有html文件，其中有些可以html文件用useradmin/telecomadmin用户都无法访问，猜测用Super User用户应该可以正常打开（残念）
    j, Z4 p6 v% {" U  b) M

heziguo

      </X_CT-COM_Syslog>
! v( f  B1 {: V+ s) _( c4 |% B  o6 X      <X_CT-COM_ReConnect>
! ]; |% Q  P  @. j7 q9 p" M. J        <Enable>TRUE</Enable>
+ O! G- a( C8 X$ N/ @      </X_CT-COM_ReConnect>
      <X_CT-COM_ServiceManage>
        <FtpEnable>TRUE</FtpEnable>
2 `, u% q# f) t3 U, ]- Z) @        <FtpUserName>e8ftp</FtpUserName>
        <FtpPassword>e8ftp</FtpPassword>
        <FtpPort>21</FtpPort>
% Z/ f5 |; ?7 V$ P2 H6 H        <FtpChanged>TRUE</FtpChanged>
6 @, K2 i2 C: t3 K3 f        <TelnetEnable>TRUE</TelnetEnable>
5 @2 j- n, |0 g2 e8 ^8 s1 |        <TelnetUserName>e8telnet</TelnetUserName>
        <TelnetPassword>e8telnet</TelnetPassword>
        <TelnetPort>23</TelnetPort>
        <ConsoleUserName>admin</ConsoleUserName>
. d$ N  ^3 t# U4 T: w4 u: L6 p        <ConsolePassword>v2mprt</ConsolePassword>

telnet的账号密码是e8telnet  e8telnet
+ |, E& x+ m$ j我是用的dumpmdm这个命令找到的

644196867

现在的光猫真难搞

heziguo

dumpcfg这个还是第一次听说
1 `6 T9 o  S) z' l9 `8 P6 i你是怎么知道的啊我上次TTL登录进去什么都没用
: t1 i7 G' v4 q2 C: C7 J4 j基本看不到什么有用的命令
/ U. A2 o" {7 m" r

homey123

heziguo 发表于 2013-4-20 23:51
. N# b6 ?1 z  r8 G5 ?( Vdumpcfg这个还是第一次听说
: N# C4 ]* x& W- X! N3 k& z你是怎么知道的啊我上次TTL登录进去什么都没用
3 e4 U, c$ F8 @0 Y+ h7 k/ p0 C) b基本看不到什么有用的命令

在">"提示符下敲个问号“?"就可以看到所有的命令了！
还有 > wanlimit set totalnum 20 可以把可连接的PC数加到20个（默认5个）

heziguo

wanlmit set totalnum 20 这个也是？里面的？

homey123

heziguo 发表于 2013-4-21 11:10
% C, J# `4 j8 F# z5 |wanlmit set totalnum 20 这个也是？里面的？

# S7 p' p2 R/ `2 _是的，修正一下刚才的命令，少写一个了字母，应该是wanlimit set totalnum 20，设置完后需要save一下，不然下次重启又恢复了。如果要查看命令的使用方法，直接敲命令就可以了，在没有带参数的情况下，会提示该命令的usage，不过有些不需要带参数的命令，如果直接敲就执行了，例如save。
" @/ c' p" g0 D9 r2 r: `
, _6 H# u& x! t  R4 k串口上输入用户名/密码登陆后，输一个问号所有的可用命令就列出来了。
BCM96828 Broadband Router
Login: admin
Password:
5 P, e3 X' x6 B! l) o. q >
> ?
# ?7 a( K* |5 t8 w7 L' T?
4 E9 [% s7 }5 h# L3 ihelp
logout
exit
quit
+ R7 ]  K. P3 e1 V* p# w% ~reboot
8 [" D7 A( H, }3 \brctl
1 w% B6 Y8 p$ ^2 n/ |1 Vcat
' I. X+ U; @' e# M, B, d! ~loglevel
logdest
" i3 [. s; r# _7 p; ]virtualserver
2 |0 k. i& J' E5 E* p! Kddns
df
dumpcfg
dumpmulticfg
dumpmdm
meminfo
7 u; u3 {* H# g( J& ipsp
, }) K/ R0 y) k" Q9 s9 O! nkill
0 a6 k( I1 A- ydnsproxy
9 b8 x/ N, `$ [syslog
6 z: Q$ R3 \5 f1 P8 Xecho
7 g6 `8 g$ e/ Q' ~ifconfig
ping
" ^" j: m, X3 d) B* eps
1 ^0 L" u( }+ k5 Mpwd
" _5 ^" t$ F4 Y& @# R8 V& o2 msntp
sysinfo
1 W% J" [% u  R6 k5 F3 W" `1 s, Z+ _tftp
voice
wlctl
arp
defaultgateway
/ V: B3 \1 _5 t. Ndhcpserver
$ l! a3 p. H" K% \2 ldns
lan
lanhosts
passwd
* A; s- ?3 n9 \1 Qppp
restoredefault
4 @: i) S3 t8 qpsiInvalidateCheck
route
save
0 D; I& Q+ m! F* L& D1 J# Vswversion
5 y: A- y' H4 g' ]: Y6 H& Suptime
cfgupdate
swupdate
7 _: g0 e' b! M5 @+ I3 h3 S5 E3 lexitOnIdle
wan
btt
1 t( z$ }8 T. p2 `9 @9 Y' v( k0 l) Poam
laser
9 `; q1 l6 R: T. |6 R! Poverhead
% M  R0 u$ b$ isendInform
wlanpower
atbp
ctrate
testled
ipversionmode
dumptr69soap
& u, S3 v0 G8 l) D. Z! @lan2lanmcast
telecomaccount
% x, `; y5 p% `6 i! Z3 ]wanlimit
- D' A8 N) J; }( ]userinfo
: I6 l0 G7 W6 u/ K3 G5 H& ]localservice
tcptimewait
% E1 u2 O5 g4 ~% q6 n5 Batsh
option125Mode
eponlinkper
! f" W( e0 N' {5 l3 tsetponlinkuptime
  D' s" J7 R3 L0 [% vloidtimewait
4 `! ?3 Z' r3 z; @# j5 [! s >
) F0 |, S+ @( Y3 o  | >
--------------------------------------------------------------------
$ D) q6 b2 i/ Z. p; K1 L( L2 x9 N( i查看wanlimit的使用方法
5 F/ b7 m3 B/ j+ h2 g3 Q' v >
> wanlimit
usage:
' }- W' g: `2 b* Z- H/ C5 |   wanlimit show: show the wan limit information.
   wanlimit set mode <0|1|2>: set the mode of wan limit, 0:disable  1:enable mode 1 2:enable mode 2.
. e4 ~/ l5 x. y! m- F   wanlimit set totalnum <number>: set the TotalTerminalNumber.
   wanlimit set stbenable <0|1>: set the STBRestrictEnable, 0:disable  1:enable.
   wanlimit set stbnum <number>: set the STBNumber.
- L5 a7 x% `9 f, a/ T. e   wanlimit set cameraenable <0|1>: set the CameraRestrictEnable, 0:disable  1:enable.
$ ?' B; L* `/ T. s. i   wanlimit set cameranum <number>: set the CameraNumber.
   wanlimit set computerenable <0|1>: set the ComputerRestrictEnable, 0:disable  1:enable.
   wanlimit set computernum <number>: set the ComputerNumber.
7 h; B6 N& W7 ^# H" K   wanlimit set phoneenable <0|1>: set the PhoneRestrictEnable, 0:disable  1:enable.
   wanlimit set phonenum <number>: set the PhoneNumber.
* h  S5 Y; R/ X  y6 a5 e  O4 H >
很容易理解wanlimit set totalnum就是设置终端连接限制数的命令了。

swcnchen

好贴！谢谢楼主。

dsb007

厉害！重要的就是串口连上去的密码啊！

快乐大叔

您好，老大，这个问题没有，（SUPER USER) 能处理吗?
请问，如何修改配置文件，我想给HGU421N V3开多一条SSID,看到里面有4条，但只有一条能给我们用，而且还不能改前面部份，请帮忙，谢谢，我家ITV也是无线的，拉根网线从客厅中间穿过实在太丑陋了。(daku:

homey123

快乐大叔 发表于 2013-5-8 00:16
您好，老大，这个问题没有，（SUPER USER) 能处理吗?
请问，如何修改配置文件，我想给HGU421N V3开多一条S ...

猫的无线功能被关闭掉了，新的家庭网关无线功能都给关闭了！
  g, s, t5 ~/ }# [5 K. Y我也不会开这个，后来偶是接自己的无线路由拨号上网的。