最近家里宽带升级了200M,于是某信以我的老光猫(烽火某型号)不支持为由,给我换了新的光猫。说实话还是有点不舍得的,毕竟老的光猫是没有无线的(个人觉得这是个累赘,家里已经装了UBNT的AP覆盖,而且也会增加光猫的功耗,最关键我的老光猫是破解的,出入管理界面自由)。然后就对破解光猫有了新的认识,比如什么是LOID啊,什么是ITMS啊,巴拉巴拉。
7 f& P' F0 ?0 k1 {0 C0 V8 j7 r
, y; H" |& _ f7 a8 k* p' xZXHN F450 3.0的光猫,应该是江苏这里主流的新款光猫吧,我尝试了网上流传的所有破解方法,无一能成功的。所以就自己分析可能存在的漏洞,然后尝试利用并且破解。虽说现在回想以及使用漏洞破解轻而易举,但当初(3天前)想破乳头(乳就是小的意思)都找不出解决的办法,不过整个的破解过程还是需要唠叨一下的,毕竟这样才显得博学(误,对破解其他光猫会有很大的帮助,因为我用其他的方式,又破解了一台华为HG8145C 2.0的光猫,对于老光猫的话这些老方法还是很有效的。 3 E- ^ k5 E1 y. v* ~% o
' g* ~- F+ C* f3 r; B1. 光猫到手我就拆了,因为知道破解光猫最终极方法就是TTL**,于是我找出年代久远的CH341 土豪金编程器,跳线帽调至TTL模式,杜邦线接到光猫。以我多年PCB Layout经验,热焊盘的是GND,粗线的是VCC,另外两个可能是TX/RX,然后接上。Putty打开串口,打开光猫,出来了期待的文字,一脸果然如此的神情浮现在楼主稚嫩而精致的小脸上(窜线了。然后……然而……等到画面停止跳动,光猫完全启动,发现怎么按回车或是ESC都不能弹出登录界面?难不成线没接好,再重启,然后不断的按ESC,终于我进入了一个叫UBOOT的界面(就是小米手机刷机那个FASTBOOT,哦不对),反正就是用来引导系统启动,并且提供了一些基础的功能比如刷机,升级,重置之类的功能。然后我稍微尝试了一下(其实比较久,可以通过TFTP更新固件,然而手头没有合法的固件,貌似需要CRC32之类的校验合法性,所以刷不进。并且虽然提供了ls命令,但无法进目录里查看,只能查看根目录,其他的话基本都是内存读写NAND FLASH(闪存)读写之类,没有对文件系统结构具体的地址进行展示,就算是能读写NAND但不知道地址,胡乱写入只会让光猫变砖,变砖后虽然可以换新猫,但有拆卸过的痕迹怕是到时候需要好好解释(狡辩)一番的了。此方法就此告罢。( B6 ?3 @- ^7 x1 k7 O3 e0 U* D! ^8 m
 ; u& l3 j/ n9 l% j5 x7 l1 a
 " T" Q% E. y# _3 m I
 8 X. h6 V, u1 y2 Q
IC上的散热器胶很牢,用拆焊台加热240℃,中等头,吹个10多秒钟,然后拆下。+ [/ T: _1 v2 x/ Q. _
. h7 n) I8 O+ W6 M# K( M+ y4 C2 `6 W
# I* U H# `. P) a2 Y9 P, r) |# `
6 P o2 j# ~; R# O! ], `; ^% ~
- G( A7 M/ Q) ~, ` R3 |蛤,一波操作后比较乱。7 K- ?- p# n5 b" I7 ~& ~1 D6 E
2. 拔光纤,长按reset按钮重置机器。貌似没啥效果,只能起到重启的效果,没啥P用。
: r- e5 g; C; v( i, o3. 通过网上流传的,重置光猫地址,切换地区方法来强制清空机器数据,从而破解光猫的原始管理密码。不过貌似是失败了,主要原因,该功能已全部设置了密码保护,只有拥有密码的管理员才能对机器进行上述的操作。
' V$ W8 M i2 k" P
; `) a+ {$ X e, v0 N4. 研究U盘管理功能,是否可能存在权限访问U盘路径以外的其他路径。以/etc为例,使用HTTP调试工具Fiddler进行参数的改写。列出/etc目录下的文件,这个操作有点慢,因为这个目录下文件有点多,我都以为失败了,结果列出来了一大堆的数据。然后我再尝试了获取/etc/password、/etc/shadow文件,拷贝到U盘中,结果能成功(这个部分没啥用,因为我没法Telnet也没法TTL登录进路由器)。再做了一些测试,和网上流传的说法/userconfig/cfg目录下是存放光猫配置的,我尝试把这个目录下的配置文件拷贝到U盘,然后打开文件,很遗憾xml被加密了。看文件的结构,应该是比较严谨的加密,但还是怀着试试看的心态写了个XOR暴力穷举程序,试试看会不会不像表面上那么难。但结果比较遗憾,和表面上看上去一样的强(穷举程序代码如下,可以附件中下载)。2 a$ O* y. t- n
 & l* T. R2 l+ z& ^8 m
 / [1 R, y' {1 A- W, Z+ Q& H
 6 G3 r+ ^6 {( Q# X& E/ o6 f
列出配置文件,如果你只是要破解光猫,直接删除掉这些配置文件就行了,如下图" W; f4 G6 g- _: W$ u
- ]1 z$ M x: B4 H; Y0 X
) T- r9 z1 r$ j$ a- w( x" `导出的配置文件
* h( \; N2 k* t( D& C9 q3 d* \/ L , H/ ?7 z- E' w! `
使用XOR暴力穷举,尝试破解
/ m$ B `/ x1 g2 n) i5. 久违的无法上网,等我破解了超管权限之后,我竟然无法上网了。猜想可能配置文件丢失,可能重置一遍机器就会好的,所以就彻底重置机器,然后再试。不试不知道,一试吓一跳,我竟然3天都没搞定,一直无法上网。用手机百度了无数个帖子,发现貌似有个叫LOID(中文名宽带识别码,逻辑ID)的东西。仔细查看发现疑似被重置掉了,网上有说法说可以找某信可以要,于是就打电话给某信,我已经明确的说宽带识别码了,但是客服却不肯给我,非要安排个小哥上门。上门就上门吧,不带怕的,虽然机器还裸体着……某信小哥上门就给输了码,成功的上网。但我是个不信邪的人啊,对于出现的问题刨根问底才能在逆境中成长,我深知这个道理。所以我又把光猫给破解了一次(采用第4种方法),破解后重启进入光猫,我果然看到了LOID,并自行的保存好以备用。然后我又重置了机器,自信满满的输入了LOID,并且成功的没法上网。我当时就窝了一个艹,怎么回事?登录进管理界面发现ITMS注册不了,这个东西疑似是需要某信在系统上登记的,需要下发。不黑进某信的系统,是没法进行下发操作啊……这么想着,又一天过去了。我就收了两个旧猫。如下图,当是的猜测是这样的,可能老猫不需要ITMS注册,网上搜索结果来看,很多老猫用户ITMS没有注册就成功的上网了。于是倒腾起了华为HG8145C光猫来。& O, ~! C% h# J& l. T Z; X
 3 m7 l# k6 e6 Z( N
 1 @: q4 m) a# N+ U& I Y
注意上图和下图LOID区别
$ }( \5 j% _2 t & O( S0 M& E% @& {" ] i( Y9 n' G" |5 E
 % g% b5 \' @% e9 I. M* U
6. 一言不合就开盖,HG8145C的盖比F450难拆不止一点点,F450可以几乎无损的拆开,但是8145拆开还是断了不少的脚的。好在外部没有什么拆卸痕迹(对于一个外观DANG,我不忍心看到一点瑕疵),拆开后看到主板上有5个接口,看着像串口。凭借多年PCB Layout经验,秒区分出了VCC GND TX RX(就是这么流弊,我能说啥),但是接上串口疑似没啥反应,用新买的钳形表(只是突出个性,普通万用表也行),测得电压只有TX RX 口40mV,一般来说TX RX的电压都在3.2V才是正常的。于是找板子上的布线,发现TX RX少了两个电阻。测量电阻的前端,电压得到3.2V,懒得补上电阻(0402的电阻我也没有啊,还要去买),直接飞线接出。接上我的CH341土豪金,完美的得到tty,久违的登录界面出现了,但是root的密码admin却不对。求助chinadsl上的大佬得到了adminHW这个密码成功的登录进去。按照网上的教程备份配置文件之类的命令全被和谐了,shell里面也就少的可怜的两个命令,其中一个还是exit。唉,只能自己研究,研究发现WAP模式下,可以restore_factory,重启后成功的通过telecomadmin nE7jA%5m成功的登录进了管理界面。
$ g: ~: K* l4 ?0 h, t
* j- V5 D- v1 B9 j7 v( q6 B 8 d) R+ a; |) _3 _7 p
 : L, G. m6 U2 ?, _
留了后门的HG8145C
1 T/ S% C/ ?" D5 r; A/ h) R2 Q6 K 5 O1 Z) M, S5 _
7. 为全新的HG8145C(重置完了啥也没有)绑定LOID,输入后没过多久,我就注册上了。系统界面上显示OLT和ITMS都注册通过了。当时我又是一个我了个艹,难道说老光猫容易破解?或者说不需要特定的注册??然后我又试回了F450光猫,一波操作之后也能够上网了。这就似乎有点诡异,经过一波研究并且结合百度上大家的说法,猜测可能光猫在某信的系统上只能被绑一次。同一个光猫同一个终端接口(光纤接入)需要某信解绑后才能重新注册使用,但是换来了光猫之后会自动重新绑定新光猫。所有这就是我用了HG8125C后再F450也能上网,单单使用F450却怎么重置,怎么注册都上不了网。如果手头只有一台光猫的小伙伴们,你们可能只能找某信小哥上门帮解绑重新注册牢哟。这个部分我就不截图牢,上网谁不会,噗。
7 {! l2 T7 K6 J$ y8 V: o) o5 S5 X% B& q) i' p& ?7 [
关于ZXHN F450 3.0的漏洞,应该是权限不明确,WEB SERVER运行在root权限下导致的,同样的漏洞在华为的机器上却没有。因为看过华为的机器,对权限设置的非常的严谨,并且在登录认证上也很复杂,密码输入超过次数后都会被锁定,并且无法修改disable属性来强制的提交。中兴的机器,只能说一般。但是TTL、Telnet等都彻底阉割干净了,所以很少有可以利用的漏洞,目前作者就发现这个唯一一个可以利用的漏洞。其本上全球首创。对于某信需要修正这个漏洞也是很容易的,直接做个路径匹配,轻轻松松的就解决了。但个人来说还是(不)希望某信修正的,这样的话可以多学习一些知识,写出更流弊的破文(噗
' B, U4 ^! z( z' ~3 Y! K" Y+ T" i" ?( a( S% u0 \9 h
根据作者的亲身经历,研究心得,开发了一键化破解工具(详见附件),如果是F450 3.0江苏版的用户你们有福了哟。% x! U8 O; s1 M, h1 b
 6 {$ v/ o# P7 H: D6 M% g7 e
或者想学习整个破解过程手动破解的,也可以看我自己录制的教学视频,视频地址:https://pan.baidu.com/s/11eaIchIJYjARr4UC38Zl4A 提取码:xhm90 K! ]1 H- A5 v9 h) @; i6 y
原文转自:JuncoJet
$ {9 _ x1 ^2 `1 H) B1 }; ~. I7 F$ A9 Q) y
|
7 R( M" b7 l3 W8 N8 Y |
粤公网安备44152102000001号 
发表于 2019-7-27 10:53:23
