首先得到超级用户telecomadmin,并禁用TR-069,夺得无线猫控制权:
A. 拔掉电话线。关闭无线猫,用牙签之类的按住“复位”键,然后按下开关。
B. 启动后,过一会儿访问http://192.168.1.1,会有cfe升级登录页面,用默认的telecomadmin,nE7jA%5m可以登录。不过由于没有适用的固件,所以即使登录了也没用,刷不了。所以再将无线猫关闭,过一会儿再大概。
C. 打开http://192.168.1.1,此时已经回到了之前的登录页面,这下可以用默认的超级用户telecomadmin,密码nE7jA%5m登录进去了。进去后先到“网络”-“远程管理”禁用TR-069,防止以后被电信再次控制。
D. 再到“网络”-“宽带设置”里将1_TR069_R_8_46这个连接删除,以防万一。
随后,修改telecomadmin密码,更进一步掌控住无线猫:
A. 保持电话线未连接上无线猫,以telecomadmin登录进去。
B. 打开http://192.168.1.1/backupsettings.html,备份无线猫设置,点击“备份设置”后会下载backupsettings.conf
C. 打开backupsettings.conf,用notepad就行。其中可以看到<AdminPassword>bkU3akElNW0A</AdminPassword>,bkU3akElNW0A就是nE7jA%5m经过Base64加密后的字符串。这一项可以修改,但是会发现完全没用,修改后再登录,telecomadmin的密码还是未变。
D. 稍微往前看看,发现<X_CT-COM_TeleComAccount>下有<Password>nE7jA%5m</Password>,竟然是明文存放的,而且还单独了出来。我在试验时一直执着于<AdminPassword>,但一直没改成功,尝试了各种方法,都无效,无比郁闷,到最后才想到修改这个值试试,结果成功了。猜想也许是中国电信为了加强监控,防止用户修改telecomadmin,所以修改了密码保存方案。如果密码是以这个值为准,那么怎么调用现有的修改密码页面中的方法都不会有效果了。总之,修改<Password>属性的值即可,但由于是完全明文存放的,设密码的时候最好小心些,为其准备专门的密码。
E. 谨慎起见,将<AdminPassword>也一并修改了。
(这里很奇怪,一开始我改了<Password>,然后将<AdminPassword>改为对应的Base64加密后的值,但却提示密码错误,但这时候nE7jA%5m可以登入。而后我将密码设为dxnex,然后修改<AdminPassword>改为对应的Base64加密后的值,却又能登入。所以,猜想可能是和<Password>明文存放有关,我的密码里有两个好转义的符号,于是判断时出错了。然后,我再将密码改为之前登录失败的密码,也修改<AdminPassword>改为对应的Base64加密后的值,还是无法登入,nE7jA%5m也不能登入,但上一个密码dxnex可以。最后,留着<Password>的明文密码不动,<AdminPassword>修改为任意字符串,依旧以那个密码登入,成功了。所以总结下来,这个固件判断密码时,<Password>及<AdminPassword>都会相关,如果不同,则以<Password>的为准而无视<AdminPassword>。在满足某些条件时,提交的密码会被忽略,依旧以上一次的密码为准。)
F. 保存文件。
G. 打开http://192.168.1.1/updatesettings.html,选择刚才改动后的backupsettings.conf文件,升级配置。
H. 等待2分钟后,以telecomadmin登录,确认密码修改成功。