xyn大哥在之前写了一篇《DIY h608b v2 无天线猫》很详细,小弟在深入参考此文之后经过亲身实践,成功破解我家的H608B,故作此文进行补充说明,以此文感谢帮助我的han大哥和hotqj!
我家的h608b版本信息是:
运营商:
| 中国电信 | | 设备型号: | ZXV10 H608B | | 设备标识号: | 002***-48200***29309***3 | | 硬件版本: | V1.1.02 | | 软件版本: | V1.1.02T11_E |
当拿到这个机器的时候发现没有自动拨号功能,更本不能充分利用四个lan口。
甚至有无线功能,但用它写在机器背面的无线网络密钥怎么也连不上去,无奈加气愤之下决定破解之。
刚开始的时候上网搜索了一些破解方法,但似乎都不见效。用telecomadmin始终登录不上去,用网址开ftp也不行。最后决定参考前辈的方法拆开机器,利用数据线来破解。
打开机器可以发现这是一块采用conexant系列arm芯片的板子,上面预留了四个针脚,猜测是厂家为了调试机器留下来的。
从板子上可以看到四个针脚分别是: VCC, TD, RD, GND。很明显,VCC是用来供电的,TD是板子向外输出数据的,RD是读入数据的,GND是共地端。
直觉上认为需要一跟可以将板子通过这四个针脚和电脑串口(rs232)连接的数据线。
但除了这些信息之外小弟我对ARM板子一无所知,于是当时拿着板子,带上电源和网线去了电子市场。
在电子市场转悠了半天,没理出个头绪来,也不知道该买一些什么东西回去,于是在电子市场找了一家专门开发ARM的,进去就问。
这时碰到了好心的han大哥,帮我用万能表测量了一下VCC和GND间的电压,是3.3v的。
然后给了我一张电子元件清单:
一根可以和电脑串口(RS232)连接的数据线(我买的是一个RS232的延长线)
一个max232芯片
四个1 μF/50v的柱状电容(圆柱形分极性的那种)
一个104磁片电容。
然后好心的大哥又将连接的电路图发给了我:
然后han大哥又补充说明: 要注意的是电脑端的电源要连到MAX232上,就是串口线上标号为1的连到MAX232的VCC,另外注意共地。
很快买完元件回到家,发现忘了买电烙铁,由于破解心切,无奈之下剪下一段数据线,用电线来连接各元件。
经过2个小时的奋斗之后终于照电路图连接完毕,然后将max232的11号针脚连接板子的TD,12号连接板子的RD,并立刻连接猫和电脑。
由于当时XP没有安装超级终端,只好上网下载了一个叫comtools的串口调试工具。
使用默认设置:波特率9600,无校验位,传输模式等等的都使用默认,然后重启无线猫。
发现comtools上有00 0F 53 4E……类似的二进制数据输出,但始终不见人类看的懂的字符输出。
无奈尝试修改串口的连接参数,比如波特率等等的,但所有的组合都得到二进制的信息,只是数据输出快慢的差别。
只好怀疑是不是电路连错了。于是上网搜索关于max232的资料。
发现max232采用的是5v供电,而串口(rs232)提供的是12v的电压,所以估计照han大哥的连接方法是不能正常工作的。
由于以前接触过一点数字电路,有些ttl元件可以采用3.3v供电,所以我将MAX232的VCC连接到了板子上的VCC端口,其余保持不变。
然后再次挨个测试所有连接参数的组合,最后终于在 38400-n-8-1-n 的组合下得到正常的ascii字符信息。
记录那些数据以后我重启路由器,看着一堆一堆的数据兴奋不已,终于在漫长的启动等待以后看到了登录提示:
ZXV10-H608B login:
于是利用comtools输入用户名:root,密码:root
但是始终提示:login incorrect.即登录不成功!
在尝试了所有已知可能的组合均告失败以后,我想肯定有人是已经成功登录了的,所以决定向版主求助,于是,我pm询问hotqj相关登录信息。
但采用了hotqj的建议以后还是不行。
无奈只好请会linux的姐夫来帮忙。他一看就看出了原因:comtools不够专业,将用户名和密码提交的同时又提交了一些非法的字符,所以板子上的linux系统不认。
于是立刻重启计算机,进入linux系统,使用minicom作为终端,并成功用用户名:root,密码:root登录,终于拿到了shell。
但是h608b内嵌的linux太过精简,只好利用U盘,将机器内的所有文件拷贝出来。只要将U盘插在无线猫的USB口上,它会自动挂载,然后在终端下利用cp命令将根目录下的每个文件夹复制到U盘里。
找到然后就可以在本地进行研究。
打开/etc/board.conf,搜索teleconadmin可以看到:
<row id="0">
<item>"right", "0"</item>
<item>"password", "telecomadmin********"</item>
<item>"username", "telecomadmin"</item>
<item>"enable", "1"</item>
</row>
这里清楚地记载着telecomadmin的密码,这里可以修改超级用户的用户名和密码哦。
为了以后操作方便,决定开启telnet:
搜索telnetmess,找到
<telnetmess id="709">
<row id="0">
<item>"enable", "0"</item>
<item>"port", "23"</item>
<item>"username", "admin"</item>
<item>"userpass", "admin"</item>
</row>
</telnetmess>
将enable的值改为1,记住用户名和密码,然后再利用U盘将文件复制到无线猫里,覆盖原来的文件(其实这是个笨办法,完全可以先开启vsftp,然后直接利用ftp上传就可以了)。
然后重启无线猫,现在可以在命令提示符下利用telnet 192.168.1.1,用户名admin,密码admin登录到h608b上了。
到这里基本破解完成,可以将数据线收起来,合上盖子。
接下来要做的就是开启无线猫的自动拨号功能。
在游览器里打开 http://192.168.1.1/,利用telecomadmin登录。
首先打开网络->宽带设置,将原先所有的连接数据截图记录以后删除所有的连接,然后新建一个wan连接,所有的东西保持默认,只要在底下输入上网的用户名和密码,点击创建。
然后稍等片刻,应该可以在状态->网络侧信息看到ip地址,这就表示连接成功了。如果连接不成功,那么只要在创建wan连接时指定VPI/VCI的值。如果不知道的话可以挨个尝试原先删掉的连接里面的VPI/VCI值。
可是当我成功连接了pppoe以后,我却仍然不能通过它上网。
于是再次telnet上去,发现可以在猫上ping通外网,本地却怎么也ping不通。
于是挨个尝试网络配置,最后将安全->广域网配置下的启用选项去掉后终于可以连接网络了。
为了防止电信远程管理我的无线猫,将管理->远程管理方式改为中间件管理,然后将网络->远程管理下的周期上报使能:取消,并且破坏上面的一些数据。
基本上算是搞定它了,于是我又看了一下无线网络的配置,发现电信配置的PSK字符串和机器背面打印的无线网络密有一个字母不一样……彻底无语。
但是我发现在board.conf文件里将ftp的enable设为1却仍然使用不了ftp,后来在超级用户下输入地址:
http://192.168.1.1/getpage.gch?pid=1002&submenu=Advanced&nosubmenu=0&nextpage=tools/update_t.gch&title=Ftp&path=Tools-%3EFtp&nextgch=tools/update_gch.gch&nextjs=tools/update_js.gch
竟然可以访问。于是将ftp使能,这下可以使用ftp了,但是重新启动以后ftp会被关掉。
其余功能继续发掘中…… |
粤公网安备44152102000001号 
发表于 2009-2-18 19:07:48
