烽火HG5143F 电信光猫开telnet整理(烽火新型号应该通用)

anysoft

固件不断地更新，厂商和运营商也不断的修补漏洞和后门一些以前的方法已经失效了。

该帖中修正一种方法中key，新增一个开telnet脚本。

闲话不多说直接上东西。


开telnet
默认其实telnet服务是开启的，只是防火墙策略禁止外部访问，而所谓开telnet其实是让防火墙放行23端口。

1. 管理后门
利用 telnetenable.cgi  传入 key 和 telnetenable 参数值开启telnet，这个属于管理后门性质接口。几乎所有版本都有，通用性高，但是key在各个版本之间可能存在差异。具体可以捅菊花后获取固件内程序后文件分析。

老版本：key=FH-nE7jA%5m光猫MAC后6位全大写
新版本：参考附件




附上  telnetenable.cgi  代码

1. #!/bin/sh
   
2. echo Content-type: text/html
   
3. echo
   
4. 
   
5. BR_MAC=`cat /sys/class/net/br0/address | sed 's/://g' | awk '{print toupper($0)}'`
   
6. if [ -n "$QUERY_STRING" ]; then
   
7.         for paramIndex in 1 2
   
8.         do
   
9.                 CGIParam=`echo "$QUERY_STRING&" | cut -d '&' -f ${paramIndex}`
   
10.                 par=`echo "$CGIParam" | cut -d '=' -f 1`
    
11.                 val=`echo "$CGIParam" | cut -d '=' -f 2`
    
12.                 if [ "$val" != "" ]; then
    
13.                         case $par
    
14.                         in
    
15.                         "telnetenable")
    
16.                         TELNETENABLE=$val
    
17.                         ;;
    
18.                         "key")
    
19.                         KEY=$val
    
20.                         ;;
    
21.                         esac
    
22.                 fi
    
23.         done
    
24. fi
    
25. 
    
26. if [ "$BR_MAC" == "$KEY" ]; then
    
27.         if [ "$TELNETENABLE" == "1" ]; then
    
28.                 iptables -D CHAIN_SERVICE -i br0 -p tcp --dport 23 -j ACCEPT >/dev/null 2>&1
    
29.                 iptables -I CHAIN_SERVICE -i br0 -p tcp --dport 23 -j ACCEPT >/dev/null 2>&1
    
30.                 /fhrom/bin/telnetd -p 23 >/dev/null 2>&1
    
31.         elif [ "$TELNETENABLE" == "0" ]; then
    
32.                 killall telnetd >/dev/null 2>&1
    
33.                 iptables -D CHAIN_SERVICE -i br0 -p tcp --dport 23 -j ACCEPT >/dev/null 2>&1
    
34.         fi
    
35. else
    
36.         echo "<html>
    
37.                 <head><title>404 Not Found</title></head>
    
38.                 <body>
    
39.                 <center><h1>404 Not Found</h1></center>
    
40.                 </body>
    
41.                 </html>"
    
42.         exit 0
    
43. fi
    
44. 
    
45. 
    
46. echo "<html><head>
    
47. <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    
48. </head>
    
49. <body>
    
50. <script type='text/javascript'>
    
51. if ( '$TELNETENABLE' == '1' )
    
52. {
    
53.         document.writeln('telnet开启');
    
54. }
    
55. else if ( '$TELNETENABLE' == '0' )
    
56. {
    
57.         document.writeln('telnet关闭');
    
58. }
    
59. else
    
60. {
    
61.         document.writeln('无操作');
    
62. }
    
63. </script>
    
64. </body>
    
65. </html>

复制代码

2. 接口越权


此处利用光猫接口未做权限及操作分离的设计，在登录超级账号后脚本调用接口开启telnet

脚本参考附件






脚本实现了  上述1，2 两种方案。
被坑了几千猫粮下载的固件无法刷入，所以写个教程和脚本赚点猫粮{:7_198:}

maozijx

上海电信最近用的是HG-5143F V2，这个方法似乎不行，192.168.1.1/cgi-bin/telnetenable.cgi 会被TCP reset，如何解？

anysoft

脚本采用python编写，安装python3之后直接执行脚本就行
python3 opentelnet.py

gzfslz

不懂，学习学习

245668

牛皮，学习学习

anysoft

245668 发表于 2023-4-25 15:52
牛皮，学习学习

总的来说就是利用固件本身的一些未开放接口来打开开关而已。

ziqinyy

有没有改SN码命令，开了telnet 不知道输命令

245668

anysoft 发表于 2023-4-26 09:07
总的来说就是利用固件本身的一些未开放接口来打开开关而已。

四川移动版本的烽火光猫可以开启telnet吗？

245668

anysoft 发表于 2023-4-26 09:07
总的来说就是利用固件本身的一些未开放接口来打开开关而已。

四川移动烽火光猫可以这样开telnet吗？

lizichun88

我的光猫被限制不能用FIWI，怎么办，我不想多挂一个FIWI设备

bg5bbl

"$BR_MAC" == "$KEY"