【教程】华为语音鉴权密码解密方法 不用telnet 不用shell 不用漏洞 不用算法

福利发放鸡

% W) T% h$ u( f" U9 B
关于华为光猫语音鉴权密码这事儿不必多说。$1、$2开头的密文网上各种球解密。大家也是有各种法子：有拿着算法不公开的，有用DDNS+shell的，还有各种发帖、QQ群去球助的......本人能试的都试过了，要么得球人，要么得花钱。偶然看到一篇DDNS+shell破解法非常新颖，可是我的光猫的shell被阉割过了。而且shell折腾来折腾去很容易把光猫整出问题。从中受到启发，换了个思路，大获成功。现在发布原创的鉴权密码解密方法。所需的设备是一台原厂固件的华为光猫，运营商定制的还原后的也包括在内。以及一些电脑程序，会在后面详细说明。
& S; c1 x$ x. m) T注意，一定要全部读完以后再开始操作！因为下面的一些步骤可能需要花时间去准备。
首先，感谢 @浅唱那回忆 提供的启发。光猫所需具备的两个功能，分别是DDNS和配置文件备份还原。
1 n  h, \% T0 z# ^& D* t( V然后，我们进入到光猫的DDNS设置界面。

$ t+ k/ ?9 a# j6 C. w- c域名、提供商主机、用户名、密码都随便填，其他的选项不用动。最后勾上上面的“使能DDNS”，然后点击下面的“应用”按钮。
再然后，我们把光猫的配置文件hw_ctree.xml下载下来。具体过程由于太简单，不再赘述。
下载后，打开编辑。用搜索功能搜索“AuthPassword”，会找到语音的加密的鉴权密码。
$ V2 C, z* ^7 J$ ]0 w( R5 Z: N
将其复制，替换到DDNS功能的“DDNSPassword”里面。
1 t2 |8 M) }. o
接着，保存配置文件。上传到光猫。具体过程由于太简单，不再赘述。光猫之后可能会重启。
第一部分结束。
1 \. o" d6 i% H- h第二部分，自己动手搭服务器。这也就是我让大家先读完再操作的原因了。
5 B6 s$ X' D: |7 I, o  ?# W我们只需要一台http服务器即可。上面需要安装抓包软件，如Wireshark。
; D5 H/ Z- Z# P# g# M请准备好一台http服务器，并且安装好抓包软件，然后进入第三部分。不懂的朋友们，百度上一大把，请自行搜索“搭建http服务器"和”Wireshark抓包“的教程。至于为什么要做这些，请接着往下看。
$ s* q4 |% p( I( l; y1 w: b第三部分，再回到光猫DDNS设置界面。
% r1 }9 y% k/ c8 X, c
这时候，将服务提供商保持默认的"dyndns"，服务提供商主机则填写搭建好的http服务器的域名或IP地址，服务端口填写搭建好的http服务器端口。点击“应用”。
在服务器上打开抓包软件进行抓包，我这里以Wireshark为演示。请打开"http"结果过滤器，不然马上就会被抓包结果刷屏。
+ m8 @4 L( {0 j( q
耐心等一会儿，然后，一条惊喜的结果就出现了：
0 G2 `! x. K: X4 c3 |9 b9 {
" m( i8 F1 O$ |5 `* @2 E9 g2 x, C+ Z这是我们截获的光猫发送给DNS服务器的IP地址更新请求。到这儿，我这方法的实现原理大家可能就看明白了。我是希望通过伪造一个DYNDNS的更新服务器，使光猫将最新的IP地址，连同DYNDNS认证所需的用户名和密码一块儿发到我的假服务器上。有点儿像李逵和李鬼的故事。我的李鬼收到的一定是明文的用户名和密码，因为DYNDNS公司肯定不知道华为的私有算法，所以华为肯定要明文发送的(https的加密问题不需要考虑，因为我刚刚已经提到咱们走的是http)。而我的所谓DYNDNS账户的认证密码，早在第一部分就被我狸猫换太子了。这样一来，我自己的服务器收到的就是明文的语音鉴权密码！
哎哎哎，这位楼主，你先别急着高兴，你的URL请求里怎么没有用户名和密码呀？
别着急，IT精英来告诉你，DYNDNS的认证信息在请求的header里，不在URL里！
5 t1 G  |+ z; }5 p  Y: Z% a; j9 n* q. d请选中那条关键请求("GET /nic/update?hostname=......")，打开Wireshark下方的那一部分，就像这样：

6 o' S" {( l6 U% m3 b0 ~* P在"Authorization"的header中，"Credentials"就是您随便填写的那个用户名、和狸猫换太子过的语音鉴权密码了！Surprise 惊喜吧！
, `* Q# u4 B& k9 sheader里面的格式是"用户名:鉴权密码"，如：在我的例子中，123是我随便填写的DDNS用户名，T5......是我的语音鉴权密码。
此处应该有掌声！
好了，回头看看所有的步骤，你会发现自建http服务器那步也许不是那么重要。因为我们只需要截获这个光猫发出的DDNS请求，并不需要真正有人去回应它。所以，只需要确保自己抓包用的电脑的所选端口畅通、能收到请求即可，并不一定真的需要建一个http服务器。但是在理解我的思路的过程中，“搭建”http服务器却是非常重要的一步。这也就是为什么我一开始就说，一定要全部读完。全部。
% i3 T' f9 ~! B" {  n总结一下，这种方法一原创，二不需要telnet，三不需要shell，四不需要利用漏洞，五 零风险。
0 ?# ^: T7 d4 B2 B5 i4 L/ D/ s好了，现在可以自己开始动手了！再也不需要求人！再也不需要花额外的钱！再也不需要忍受那些拿着算法却偏不给你、偏不给你、偏不给你的小气鬼了！语音鉴权密码，就在你眼前！你，值得拥有！
6 J2 ]* x& C) C! P( ^

lszjyj

谢谢楼主分享！

leep4

难者不会，会者不难。支持一下，没固话也不懂抓包的飘过

zbj

太高明了，佩服。楼主简直可以开个假证公司。

fiyme

谢谢楼主分享！

小恶魔兔兔

谢谢楼主分享！

zbj

今天晚上用我的hg8321测试了一下，这个方法失效。软件版本是V300R015C10SPC135。
1 |  n. l0 H! A因为在ddns密码不更新的时候，不向服务器发送密码。

以下是抓包中的部分代码：
, x* }9 f& @$ N9 S; S) R# Dfunction stDdns(domain,Enable,Provider,Username,Port,DomainName,HostName,SaltAddress)
{
    this.domain = domain;
7 ~. A! C4 _9 T' s5 N    this.Enable = Enable;
    this.Provider = Provider;
  w; I6 ]$ k) ]$ Q  e    this.Username = Username;
    this.Password = '********************************';
    this.Port = Port;
    this.DomainName = DomainName;
! G( y. u. L! `% S) J4 u7 X9 G    this.HostName = HostName;
6 M2 a2 U$ G$ X* T! z- i    this.SaltAddress = SaltAddress;
}
! k: E* t" i4 H$ h: h/ x# m8 n& J4 o
4 P) |1 N; Q7 E9 @& K2 Bvar WanIPDdns = new Array(null);
3 _# ]' n$ j/ v- S, k5 d5 X9 }var WanPPPDdns = new Array(new stDdns("InternetGatewayDevice.WANDevice.1.WANConnectionDevice.2.WANPPPConnection.1.X_HW_DDNSConfiguration.1","1","dtdns","zzz","80","www.xyz.mn","192.168.1.2",""),null);

。。。。。。。
/ S- T# E# U0 X; F, N( F0 V' W; w% P
& ?- D1 |: k  swith (getElement ("ConfigureDiv"))
& V0 d" m4 q8 H8 g% K0 m0 g    {
9 d3 L4 h4 S4 g7 D; _  |        SubmitForm.addParameter('x.DDNSCfgEnabled',getCheckVal('DDNSCfgEnabled'));  
2 V4 M% w% X; {: D) [5 y        SubmitForm.addParameter('x.DDNSProvider',getValue('DDNSProvider'));
( ~/ v( q) L, L" n        SubmitForm.addParameter('x.DDNSUsername',getValue('DDNSUsername'));
        if (getValue('DDNSPassword') != '********************************')
& j: N7 Q. Z) \/ F4 {' A        {
# v5 f2 W, k# P) ?: E. A  T3 _4 ]$ K            SubmitForm.addParameter('x.DDNSPassword',getValue('DDNSPassword'));
        }
$ k/ z5 ^9 _! l2 }; x  
6 R5 ~0 V9 C+ M

yanzhao_sh

谢谢楼主分享！

福利发放鸡

zbj 发表于 2017-10-10 01:44
( M; @3 e! s& c今天晚上用我的hg8321测试了一下，这个方法失效。软件版本是V300R015C10SPC135。
因为在ddns密码不更新的 ...

3 {$ s; R4 J0 G, [+ u! D- O2 H; Y7 f您好，我这种方法是不需要涉及任何代码类的东西的！
唯一可能让人误认为是代码的东西就是编辑配置文件XML。
2 Q- z9 G' }  `5 ]您直接下载一个Wireshark，然后手动抓、手动查看结果。
WS的过滤器启用了以后结果不会乱的。

福利发放鸡

zbj 发表于 2017-10-10 01:44
今天晚上用我的hg8321测试了一下，这个方法失效。软件版本是V300R015C10SPC135。
/ v3 Z7 m# v$ m% w因为在ddns密码不更新的 ...

3 e, C6 K6 k6 Q; E6 z- X我觉得可能是您的理解有误。
您得想如何去触发DDNS更新呀！比如勾选DDNS的“使能”选项。
还有，我测试的时候用的是外网服务器，但是理论上内网服务器应该也是可以的。
0 k% D" Z0 a, f/ l  i哦对了，我的软件版本是V3R016C10S115。是2016版的固件，比您的版本还高，不大可能失效。

8 c/ |0 u' w5 ~* z' a2 A1 X; I/ ~% b