上海电信华勤HGU421v3破解（应该也可以适用其他省份）

homey123

本人2012年10月份安装的光纤上网，一个华勤的光猫，一个无线AP，无线AP暂不去管它。只是这个光猫太让人纠结了，P2P的应用都超慢。经过海量搜索后终于搞掂了这个小野猫了（但不是绝对完美，原因后面第6步会提到），PS：百度搜索真不能用，指望百度给结果可能这辈子都没戏了。还是GOOGLE给力，下面所有的信息都是通过GOOGLE+GoAgent搞掂的。

• HGU421设备基本信息：
  : i  {$ u% B8 x, A: Y7 G5 Y) `设备型号 : HGU421 v3
  设备标识 : XXXXXX-XXXXXXXXXXXXXXXXXX
  硬件版本 : A0B
  , V% z) `6 R$ `软件版本 : 132.UYY.0.B.0.SH
• 所需设备
  / d% m/ Y5 r% E* G! ?( l2 hWindows操作系统
  HGU421 v3光猫
  6 G2 {: J! k; {+ Z& VUSB转TTL小板，，淘宝上有卖，价格10-20元左右，别往了让掌柜带上杜邦线，不然没法连接板子。
  8 }- H9 N/ X. b十字螺丝刀
  putty.exe，串口/Telent连接用软件。（http://www.putty.org/）
• TTL连接光猫
  连接光猫的原教程在（https://www.chinadsl.net/forum.php?mod=viewthread&tid=79331）
  6 k3 N% d/ m1 N) }# N- h打开光猫的外壳（去掉背面的４个胶皮踮脚就可以看到螺丝了），用杜邦线连接到板子上
  
  & V3 w# [, s: W) ~7 E线序为GND，空，TX，RX，空。空代表什么也不需要接，所以只需要三根杜邦线就可以了，一根连接USB转TTL小板与光猫的GND，另两根分别接小板与光猫的TX/RX。
  打开putty.exe连接到串口，波特率为115200。
  / [( R  z2 l2 Z% P. x! j光猫接通电源，这时候应该就可以在串口界面上看到打印了。
• 登陆串口
  接通电源后等待两三分钟，在这一段时间内串口应该会打印很多启动信息，等启动差不多完毕后，敲回车应该就可以看到下面的登陆提示了
  1 F. Z' l. W- DBCM96828 Broadband Router
  Login:
  2 L3 A( g( `- t! l
  用户名密码就用上面图片上的，这时候基本上就可以完全控制光猫了。
• 获取telecomadmin的超级用户密码。
  : a2 n$ A3 p7 Y3 `' X3 N- Q在">"提示符下输入dumpcfg会打印配置信息出来，查找telecomadmin字符串就可以得到超级用户密码了。
  
  至此为止我们应该就可以用telecomadmin的用户登陆光猫的WEB界面了，设置神马端口影射，DMZ主机，PPPoE用户名密码应该都没问题了。BT/eMule又可以全力开动了。当然还是吸血雷最给力了：）
• 其他
  0 k: H! j  f6 o0 u7 T& e这款猫的调试方法在这里可以找到（http://wenku.baidu.com/view/9edfdcdece2f0066f53322e1.html），里面248页提到了一个Super User，用Super User登陆可以登陆许多隐藏的Web界面，经过测试，这些隐藏的Web的界面用telecomadmin用户是无法访问的。所以猜测光猫实际上应该存在三个权限级别的用户：
  useradmin: 给普通用户使用的账号，密码在光猫背面的贴纸上
  ! |; l/ p( C% g9 S: G6 F+ X! t9 y+ Mtelecomadmin: 给电信管理员使用的账号
  . }3 I" M4 K! {; G& T& n2 u2 d+ U9 OSuper User: 最高权限级别，应该是厂家内部使用的
  等待高手能把Super User给破了，基本上这款小野猫就可以被完全驯服了。
• 小技巧
  - d+ }& ~4 ^9 K* |登陆串口后，可以带开telent服务，这样以后再次登陆光猫就不用串口了。在串口下输入：
  3 g( o' v4 j: m( r+ }( t> localservice telnet enable
  > save
  当然这样也有一个小问题，这个telnet服务也可以被外部访问，例如光猫pppoe的外部ip是202.19.11.22，这个IP地址也是可以从外部telnet登陆的。目前我的解决方法就是每次重启光猫后，telnet到光猫然后关闭telnet服务：
  > localservice telnet disable
  7 N; W+ X2 s- Y0 a2 x1 a' r虽然麻烦点，好在光猫一般几个月也不重启一次。（另外还有个ftp服务可以用localservice ftp enable开启，用户名密码都是e8ftp，暂时用不上所以没开）
  telnet用户名密码都是e8telnet
• 光猫根文件系统下所有文件列表：
  
  可以在/webs目录下查看到所有html文件，其中有些可以html文件用useradmin/telecomadmin用户都无法访问，猜测用Super User用户应该可以正常打开（残念）
  0 p3 U# o- {. {" f

2 ^' ?  M6 T; L% C! c

heziguo

      </X_CT-COM_Syslog>
# H' u% S# l0 t7 H3 T; l! G2 Z      <X_CT-COM_ReConnect>
        <Enable>TRUE</Enable>
      </X_CT-COM_ReConnect>
      <X_CT-COM_ServiceManage>
" N: [' Z6 l( M9 W7 s/ H' F2 E& \        <FtpEnable>TRUE</FtpEnable>
        <FtpUserName>e8ftp</FtpUserName>
        <FtpPassword>e8ftp</FtpPassword>
4 V% q7 L! W' W8 R0 Q        <FtpPort>21</FtpPort>
, w# b. D. u& e0 d# A+ ~5 t; c: \( @        <FtpChanged>TRUE</FtpChanged>
' D% ]' s0 B& m- g# k- `        <TelnetEnable>TRUE</TelnetEnable>
        <TelnetUserName>e8telnet</TelnetUserName>
        <TelnetPassword>e8telnet</TelnetPassword>
, d' o" T: \7 P9 J" W        <TelnetPort>23</TelnetPort>
        <ConsoleUserName>admin</ConsoleUserName>
/ |; {: E( Q3 t% Y5 a3 q        <ConsolePassword>v2mprt</ConsolePassword>
. @4 ?2 k4 V. w, J% U9 `3 s4 P
  K: F& j( `& z: r& j. Q1 ftelnet的账号密码是e8telnet  e8telnet
' z! F# ]* d" ?  H& o* C0 u4 z/ I0 Z' O1 ^我是用的dumpmdm这个命令找到的

644196867

现在的光猫真难搞

heziguo

dumpcfg这个还是第一次听说
你是怎么知道的啊我上次TTL登录进去什么都没用
& p+ E% T& y7 |) ]基本看不到什么有用的命令

homey123

heziguo 发表于 2013-4-20 23:51
dumpcfg这个还是第一次听说
) |* U) V" H/ R$ F你是怎么知道的啊我上次TTL登录进去什么都没用
% a) l$ G& X3 U6 Q基本看不到什么有用的命令

0 G8 C: x' m/ P5 j* t# }在">"提示符下敲个问号“?"就可以看到所有的命令了！
还有 > wanlimit set totalnum 20 可以把可连接的PC数加到20个（默认5个）

heziguo

wanlmit set totalnum 20 这个也是？里面的？

homey123

heziguo 发表于 2013-4-21 11:10
wanlmit set totalnum 20 这个也是？里面的？

是的，修正一下刚才的命令，少写一个了字母，应该是wanlimit set totalnum 20，设置完后需要save一下，不然下次重启又恢复了。如果要查看命令的使用方法，直接敲命令就可以了，在没有带参数的情况下，会提示该命令的usage，不过有些不需要带参数的命令，如果直接敲就执行了，例如save。
6 h! j4 Z9 v3 q" U2 k) R! C/ b- Q% @
串口上输入用户名/密码登陆后，输一个问号所有的可用命令就列出来了。
BCM96828 Broadband Router
2 W& R; T3 V( ^Login: admin
# Q7 I& ?' q3 f" pPassword:
4 a$ {% @8 ^; p0 r; _# l+ u >
4 O- V, H1 Q* F; P/ {- J > ?
* L9 z& b+ I0 B# h( `) I# s?
2 [5 C) v2 X+ u, y6 ?help
) k4 h& S; d$ t, u% d6 _logout
exit
; E" g, B/ H# |9 b) E0 aquit
# w& f( P3 V% W6 R! j7 t6 s" P  Freboot
brctl
cat
loglevel
logdest
virtualserver
ddns
df
dumpcfg
dumpmulticfg
dumpmdm
9 S  M0 w, [* u! V: Q3 }  f; e6 ]meminfo
psp
% ?% e2 H0 ]5 C2 mkill
dnsproxy
& d* t8 s1 Q" I- D6 b- A+ e8 T, Q: Qsyslog
) Y# G# W& _# Cecho
ifconfig
ping
ps
; }* m% ?: B2 N4 }1 spwd
8 @3 }- J# t/ [; g8 G8 Ysntp
sysinfo
tftp
voice
wlctl
arp
defaultgateway
dhcpserver
dns
lan
lanhosts
passwd
7 `9 \7 D& t0 H, Fppp
restoredefault
psiInvalidateCheck
route
save
7 Z9 |  V2 N! S* Iswversion
; Y: {& }9 _' Y5 {4 ]uptime
cfgupdate
swupdate
# ]) S/ v: `# VexitOnIdle
wan
btt
" B- b+ x4 f8 Koam
% H' I$ t# x9 J. ~laser
overhead
sendInform
wlanpower
' L6 r9 m  H- r, C; W- Hatbp
ctrate
. M: A7 y% n( h2 u+ P2 h+ _testled
ipversionmode
dumptr69soap
lan2lanmcast
1 Y9 C' @/ U7 R5 c5 ]telecomaccount
wanlimit
userinfo
* B; b% p" r9 D$ K6 a0 P  mlocalservice
tcptimewait
$ F+ M6 b  j' i# O1 ~# Watsh
: v" c0 I  ]4 l& o: q; p: N3 U+ H( |option125Mode
eponlinkper
setponlinkuptime
loidtimewait
( Z3 N- A% C0 |% y9 C. W) t6 | >
6 d" V+ P7 H3 I1 B, ?% D$ T, E4 C, `5 b >
- y* m2 _' z0 e  I) n- n& e/ _--------------------------------------------------------------------
( A3 `7 a2 P5 X7 z2 i查看wanlimit的使用方法
>
> wanlimit
* X2 T4 K4 a" G7 o& ?& u0 ?/ M* d/ V0 Rusage:
5 h- L# F8 N7 l& E' f9 \, k5 C, ~   wanlimit show: show the wan limit information.
$ s6 n9 Y& b5 I: E; }& j   wanlimit set mode <0|1|2>: set the mode of wan limit, 0:disable  1:enable mode 1 2:enable mode 2.
   wanlimit set totalnum <number>: set the TotalTerminalNumber.
   wanlimit set stbenable <0|1>: set the STBRestrictEnable, 0:disable  1:enable.
0 f1 H9 n  u% Y7 [6 f4 e# b' H   wanlimit set stbnum <number>: set the STBNumber.
* L4 F" B" w% p  \  f  b   wanlimit set cameraenable <0|1>: set the CameraRestrictEnable, 0:disable  1:enable.
  x1 |6 h: J! e6 \- a) W3 L   wanlimit set cameranum <number>: set the CameraNumber.
   wanlimit set computerenable <0|1>: set the ComputerRestrictEnable, 0:disable  1:enable.
   wanlimit set computernum <number>: set the ComputerNumber.
. S9 t+ G; A& }& w% z   wanlimit set phoneenable <0|1>: set the PhoneRestrictEnable, 0:disable  1:enable.
   wanlimit set phonenum <number>: set the PhoneNumber.
>
很容易理解wanlimit set totalnum就是设置终端连接限制数的命令了。

swcnchen

好贴！谢谢楼主。

dsb007

厉害！重要的就是串口连上去的密码啊！

快乐大叔

您好，老大，这个问题没有，（SUPER USER) 能处理吗?
/ \) a2 A7 [7 C6 Q) I  J! ^) P请问，如何修改配置文件，我想给HGU421N V3开多一条SSID,看到里面有4条，但只有一条能给我们用，而且还不能改前面部份，请帮忙，谢谢，我家ITV也是无线的，拉根网线从客厅中间穿过实在太丑陋了。(daku:

homey123

快乐大叔 发表于 2013-5-8 00:16
您好，老大，这个问题没有，（SUPER USER) 能处理吗?
请问，如何修改配置文件，我想给HGU421N V3开多一条S ...

猫的无线功能被关闭掉了，新的家庭网关无线功能都给关闭了！
% s/ q( [6 s- j& G, U) Q  B5 B我也不会开这个，后来偶是接自己的无线路由拨号上网的。