找回密码
 注册

QQ登录

只需一步,快速开始

查看: 62458|回复: 57

电信光猫中兴ZXHN F450 3.0超级密码破解

[复制链接]
发表于 2019-7-27 10:53:23 | 显示全部楼层 |阅读模式
最近家里宽带升级了200M,于是某信以我的老光猫(烽火某型号)不支持为由,给我换了新的光猫。说实话还是有点不舍得的,毕竟老的光猫是没有无线的(个人觉得这是个累赘,家里已经装了UBNTAP覆盖,而且也会增加光猫的功耗,最关键我的老光猫是破解的,出入管理界面自由)。然后就对破解光猫有了新的认识,比如什么是LOID啊,什么是ITMS啊,巴拉巴拉。 , S4 u/ w0 \" Z2 C5 u

& ?+ b6 Y4 B5 _2 f5 m5 v& `ZXHN F450 3.0的光猫,应该是江苏这里主流的新款光猫吧,我尝试了网上流传的所有破解方法,无一能成功的。所以就自己分析可能存在的漏洞,然后尝试利用并且破解。虽说现在回想以及使用漏洞破解轻而易举,但当初(3天前)想破乳头(乳就是小的意思)都找不出解决的办法,不过整个的破解过程还是需要唠叨一下的,毕竟这样才显得博学(误,对破解其他光猫会有很大的帮助,因为我用其他的方式,又破解了一台华为HG8145C 2.0的光猫,对于老光猫的话这些老方法还是很有效的。
; Q0 J4 ^* J$ j/ @! S7 ~* T- p) Q$ r3 H/ }
1.        光猫到手我就拆了,因为知道破解光猫最终极方法就是TTL**,于是我找出年代久远的CH341 土豪金编程器,跳线帽调至TTL模式,杜邦线接到光猫。以我多年PCB Layout经验,热焊盘的是GND,粗线的是VCC,另外两个可能是TX/RX,然后接上。Putty打开串口,打开光猫,出来了期待的文字,一脸果然如此的神情浮现在楼主稚嫩而精致的小脸上(窜线了。然后……然而……等到画面停止跳动,光猫完全启动,发现怎么按回车或是ESC都不能弹出登录界面?难不成线没接好,再重启,然后不断的按ESC,终于我进入了一个叫UBOOT的界面(就是小米手机刷机那个FASTBOOT,哦不对),反正就是用来引导系统启动,并且提供了一些基础的功能比如刷机,升级,重置之类的功能。然后我稍微尝试了一下(其实比较久,可以通过TFTP更新固件,然而手头没有合法的固件,貌似需要CRC32之类的校验合法性,所以刷不进。并且虽然提供了ls命令,但无法进目录里查看,只能查看根目录,其他的话基本都是内存读写NAND FLASH(闪存)读写之类,没有对文件系统结构具体的地址进行展示,就算是能读写NAND但不知道地址,胡乱写入只会让光猫变砖,变砖后虽然可以换新猫,但有拆卸过的痕迹怕是到时候需要好好解释(狡辩)一番的了。此方法就此告罢。
% d( F3 z: }% c* X: J$ d4 p ) V) b* H4 v' H# M4 p

2 ?% f- s: }* w9 ^0 a6 l ( u# [( ^! _. c8 P! i4 }% k7 j
IC上的散热器胶很牢,用拆焊台加热240℃,中等头,吹个10多秒钟,然后拆下。
- u/ e1 Q% I9 Q: o  G1 H. w 1 _+ s+ L: M+ }/ w6 j

8 }: E3 g  {/ D% i. K8 g& ~
9 h, L, A0 v0 m! J. s8 ~5 e. B
' ?7 l2 G" G7 p/ H. K; P0 B蛤,一波操作后比较乱。
( |. [, n* x- i( h/ ~6 S2.        拔光纤,长按reset按钮重置机器。貌似没啥效果,只能起到重启的效果,没啥P用。  K1 u+ d; U' H1 x7 ~9 r4 b
3.        通过网上流传的,重置光猫地址,切换地区方法来强制清空机器数据,从而破解光猫的原始管理密码。不过貌似是失败了,主要原因,该功能已全部设置了密码保护,只有拥有密码的管理员才能对机器进行上述的操作。- e* B0 ~" u. F+ H' [: y9 r

, n* m, w' `* @# J0 z% g; o4.        研究U盘管理功能,是否可能存在权限访问U盘路径以外的其他路径。以/etc为例,使用HTTP调试工具Fiddler进行参数的改写。列出/etc目录下的文件,这个操作有点慢,因为这个目录下文件有点多,我都以为失败了,结果列出来了一大堆的数据。然后我再尝试了获取/etc/password/etc/shadow文件,拷贝到U盘中,结果能成功(这个部分没啥用,因为我没法Telnet也没法TTL登录进路由器)。再做了一些测试,和网上流传的说法/userconfig/cfg目录下是存放光猫配置的,我尝试把这个目录下的配置文件拷贝到U盘,然后打开文件,很遗憾xml被加密了。看文件的结构,应该是比较严谨的加密,但还是怀着试试看的心态写了个XOR暴力穷举程序,试试看会不会不像表面上那么难。但结果比较遗憾,和表面上看上去一样的强(穷举程序代码如下,可以附件中下载)。
$ t# _1 P8 u8 j) @ " V  F+ u4 `( p
( W5 G5 e3 I# J) T

0 }+ C' t0 ]! L7 ?2 f7 M列出配置文件,如果你只是要破解光猫,直接删除掉这些配置文件就行了,如下图1 ~( K9 }1 F% ]/ X1 Y. F- S7 j
# H! x) t4 f4 L
5 n4 j9 s" n7 |' @, g4 @, n( x
导出的配置文件% x" w+ L1 t3 V- r3 Q. S( E4 n
3 N* [  Z* t& W8 p# B, P
使用XOR暴力穷举,尝试破解/ ^+ _1 p& @' a
5.        久违的无法上网,等我破解了超管权限之后,我竟然无法上网了。猜想可能配置文件丢失,可能重置一遍机器就会好的,所以就彻底重置机器,然后再试。不试不知道,一试吓一跳,我竟然3天都没搞定,一直无法上网。用手机百度了无数个帖子,发现貌似有个叫LOID(中文名宽带识别码,逻辑ID)的东西。仔细查看发现疑似被重置掉了,网上有说法说可以找某信可以要,于是就打电话给某信,我已经明确的说宽带识别码了,但是客服却不肯给我,非要安排个小哥上门。上门就上门吧,不带怕的,虽然机器还裸体着……某信小哥上门就给输了码,成功的上网。但我是个不信邪的人啊,对于出现的问题刨根问底才能在逆境中成长,我深知这个道理。所以我又把光猫给破解了一次(采用第4种方法),破解后重启进入光猫,我果然看到了LOID,并自行的保存好以备用。然后我又重置了机器,自信满满的输入了LOID,并且成功的没法上网。我当时就窝了一个艹,怎么回事?登录进管理界面发现ITMS注册不了,这个东西疑似是需要某信在系统上登记的,需要下发。不黑进某信的系统,是没法进行下发操作啊……这么想着,又一天过去了。我就收了两个旧猫。如下图,当是的猜测是这样的,可能老猫不需要ITMS注册,网上搜索结果来看,很多老猫用户ITMS没有注册就成功的上网了。于是倒腾起了华为HG8145C光猫来。
% o9 |. ~3 ~; f& g/ V; H! K
6 C0 w% |. d" i5 n; i: G 6 G" b2 C7 ?9 d$ O% Y# a
注意上图和下图LOID区别- Z: W7 |" s  P

" \! N! x; @% w, w4 V / @1 G) g) Q# @/ b7 g( E: L
6.        一言不合就开盖,HG8145C的盖比F450难拆不止一点点,F450可以几乎无损的拆开,但是8145拆开还是断了不少的脚的。好在外部没有什么拆卸痕迹(对于一个外观DANG,我不忍心看到一点瑕疵),拆开后看到主板上有5个接口,看着像串口。凭借多年PCB Layout经验,秒区分出了VCC GND TX RX(就是这么流弊,我能说啥),但是接上串口疑似没啥反应,用新买的钳形表(只是突出个性,普通万用表也行),测得电压只有TX RX 40mV,一般来说TX RX的电压都在3.2V才是正常的。于是找板子上的布线,发现TX RX少了两个电阻。测量电阻的前端,电压得到3.2V,懒得补上电阻(0402的电阻我也没有啊,还要去买),直接飞线接出。接上我的CH341土豪金,完美的得到tty,久违的登录界面出现了,但是root的密码admin却不对。求助chinadsl上的大佬得到了adminHW这个密码成功的登录进去。按照网上的教程备份配置文件之类的命令全被和谐了,shell里面也就少的可怜的两个命令,其中一个还是exit。唉,只能自己研究,研究发现WAP模式下,可以restore_factory,重启后成功的通过telecomadmin nE7jA%5m成功的登录进了管理界面。
2 `8 f# R- c; {
7 f( ^. A7 O0 C+ H) d1 `% M' Z0 z
* `0 o, f4 q; ~7 c1 ~1 x* u9 S3 m
1 _0 Q' ~, w' a# \4 X7 |4 y9 `留了后门的HG8145C
. j7 T) ]1 Z4 E! N. W  h
7 r0 X. a0 S3 @& h- {' M$ Y7.        为全新的HG8145C(重置完了啥也没有)绑定LOID,输入后没过多久,我就注册上了。系统界面上显示OLTITMS都注册通过了。当时我又是一个我了个艹,难道说老光猫容易破解?或者说不需要特定的注册??然后我又试回了F450光猫,一波操作之后也能够上网了。这就似乎有点诡异,经过一波研究并且结合百度上大家的说法,猜测可能光猫在某信的系统上只能被绑一次。同一个光猫同一个终端接口(光纤接入)需要某信解绑后才能重新注册使用,但是换来了光猫之后会自动重新绑定新光猫。所有这就是我用了HG8125C后再F450也能上网,单单使用F450却怎么重置,怎么注册都上不了网。如果手头只有一台光猫的小伙伴们,你们可能只能找某信小哥上门帮解绑重新注册牢哟。这个部分我就不截图牢,上网谁不会,噗。
9 Q  b( u% H! f/ j7 P% y8 j( U5 A7 u6 f5 [- D
关于ZXHN F450 3.0的漏洞,应该是权限不明确,WEB SERVER运行在root权限下导致的,同样的漏洞在华为的机器上却没有。因为看过华为的机器,对权限设置的非常的严谨,并且在登录认证上也很复杂,密码输入超过次数后都会被锁定,并且无法修改disable属性来强制的提交。中兴的机器,只能说一般。但是TTL、Telnet等都彻底阉割干净了,所以很少有可以利用的漏洞,目前作者就发现这个唯一一个可以利用的漏洞。其本上全球首创。对于某信需要修正这个漏洞也是很容易的,直接做个路径匹配,轻轻松松的就解决了。但个人来说还是(不)希望某信修正的,这样的话可以多学习一些知识,写出更流弊的破文(噗
- v$ M, N( i: ^7 {+ x

  F+ O+ Y7 ^+ U8 E1 {& [. m
根据作者的亲身经历,研究心得,开发了一键化破解工具(详见附件),如果是F450 3.0江苏版的用户你们有福了哟。
$ A( r& e- N+ F
9 t( H- F3 r, Y/ f或者想学习整个破解过程手动破解的,也可以看我自己录制的教学视频,视频地址:https://pan.baidu.com/s/11eaIchIJYjARr4UC38Zl4A 提取码:xhm9
% u; c8 A/ v: i6 Y1 P% k原文转自:JuncoJet
1 e! d& p5 K5 I+ b" R

% E& o" H7 v6 c" Z
# E, y4 v& J. p8 a$ s

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

×

点评

复位键是有效的,但是要看详细的使用方法,并不是闭着眼按一下或者长按就能复位  发表于 2022-9-15 14:14
哥们你的***方式留个,  发表于 2019-9-2 23:27
哥们!有没有教程怎么把里面配置文件复制到U盘!  发表于 2019-8-22 11:42
发表于 2019-7-27 20:13:06 | 显示全部楼层
非常感谢楼主辛勤的奉献
发表于 2019-7-27 21:20:05 | 显示全部楼层
楼主相当强大,不知道这破解办法650是否能够通用。
发表于 2019-7-27 22:11:28 | 显示全部楼层
楼主的破解非常有用,江苏ZXHN F650(GPON ONU)破解搞定。

点评

真的能破解650?难道中兴江苏版全部沦陷  详情 回复 发表于 2019-7-27 22:55
发表于 2019-7-27 22:47:34 | 显示全部楼层
咳咳,好像发现有人搬运= =# 还卖猫粮
发表于 2019-7-27 22:55:48 | 显示全部楼层
eituoz 发表于 2019-7-27 22:11+ Y" k) j+ ]- E* D% [8 v
楼主的破解非常有用,江苏ZXHN F650(GPON ONU)破解搞定。

4 O9 x7 G, O3 q" m+ a真的能破解650?难道中兴江苏版全部沦陷
发表于 2019-7-27 23:30:40 | 显示全部楼层
实际亲测有用。
发表于 2019-7-28 09:21:26 | 显示全部楼层
这波操作够骚,赞一个!
joey84 该用户已被删除
发表于 2019-7-28 14:10:31 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2019-7-28 14:20:30 | 显示全部楼层
无法打开文件
*滑块验证:
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|小黑屋|宽带技术网 |网站地图

粤公网安备 44152102000001号

GMT+8, 2024-3-29 07:30 , Processed in 0.028827 second(s), 7 queries , Redis On.

Powered by Discuz! X3.5 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表