上海电信光纤送的RG200E-AA已破解telecomadmin密码

gurj

前段时间电信把3Mbps的ADSL免费升级成4Mbps的光纤，光纤猫是用华为的910e，并送一个无线路由是上海贝尔的RG200E-AA，带2个网络电话接口，本人试过，只有靠近reset开关的一个接口可以用，接上电话只有嘟嘟嘟的占线声音，估计要电信开通服务，拆开看到只有这个接口有电路，另一个电话接口是空的。看图

想破解telecomadmin的密码，在论坛学习了几天，试过查看源代码的方法，只能看到nE7的密码，无法用，这个密码实际是用TTL线登录才能用到，真正的WEB登录的密码是telecomadmin+8个随机数字，也试过用U盘恢复配置文件的方法，但是没用。可能是默认没用打开U盘恢复功能。也试过安装网页调试工具更改网页变量的方法，也是不成功，最后只能借助TTL线，淘宝上含运费12块钱。

下面是密码破解的步骤，有些笨拙，老鸟们能看到别见笑。
首先要安装USB to TTL的驱动，然后在设备管理器里设置115200-8-无-1-无，特别是流量控制一定要选无，不然超级终端无法输入的，我用的是SecureCRT。
插好TTL线，看下图并与原始图片比较，左第一针为VCC不接，后面是GND，后面两个是发送和接收的，我是把TTL线的后3根从GND开始依次插上，然后USB上面的也是GND开始依次插上，可能买的USB to TTL模块会有不同，只要GND对齐，其余2根最多更换一下。


打开SecureCRT，设置COM口与设备管理器里的一致。确定后，打开路由器的电源，显示启动画面（一大片英文）。等画面停止后，回车，提示输入telecomadmin，回车，输入nE7开头的那个密码（输入的时候是没有显示的），回车，提示符>出现，输入sh命令，提示符换成#,然后就可以随意察看文件和目录了（注意：如果一点时间不操作，提示符又会变成>,只要再输入sh就可以了）。
我用过论坛上介绍的把配置文件保存到U盘再打开察看的方法不成功。我进出mnt目录确实发现有USB1_1的优盘，但是不能把文件复制过去。用电脑重新格式化成FAT格式也不行，插上路由器的时候，显示不可用的FAT分区（英文），不解。
用ls命令列出文件和目录，用cd命令进入var目录，在用ls命令，对可疑的文件用cat+文件名的方式查看，逐个查看（让老鸟见笑了），再把显示的内容复制到记事本，并搜索password项目，并对password后面的加密的内容复制到在线base64解密，大部分都是nE7开头的那个，最后发现有个文件里的password后面的加密密码长度和“telecomadmin+8位数字”的格式长度有点像，于是复制过去解密，确实是telecomadmin+8位数字，密码找到了就是这个了（兴奋啊）。登录到192.168.1.1，用telecomadmin用户名+刚才找到的那个密码登录，成功了，可以随意更改了。
发现拨号方式是PPPoE，帐号装机的小哥已经给我了，帐号密码打10000问。
有几个问题，不知道那位高手能解答下。如何删除TR69，是否选择了那个删除复选框后保存就可以了？还有LAN_2（接IPTV）怎么没有内容的？USB那里的“快速恢复”是否就是自动把U盘的配置文件覆盖路由器的配置的？（我已经把原来的配置文件保存在U盘了，文件夹是e8_Config_Backup，文件是ctce8_RG200E-AA.cfg，因为含有宽带帐号，不便上传）。还有br0、ppp1、ppp3接口是设置什么的？绑定端口是做什么用的？（这些是我后来选上的，我不小心把原来的配置清掉了）
最后就是一点小改进，我把几个发热量较大的芯片加上了显存散热片。还发现这个路由有2个USB口，另一个没有接出来，而且路由器启动的时候我也发现系统在搜索这两个USB设备，以后准备换个双USB口的接口，再把无线芯片加个屏蔽罩。

paul0409

你厉害，我浦东这边怎么送的是华为的光猫，加一个贝曼元脉 HA910E 电信定制版的家庭网关，我正在为破解贝曼元脉 HA910E 电信定制版愁呢。

cybplus

删除TR069只需要在网络连接里面把相关的那条TR069的VLAN通道删除即可，默认貌似是VLAN46；其实只要在远程管理里把TR069禁用，或者随便改一下ACS的URL，设备就马上脱管了。U盘的快速恢复功能的确就是以前的那个“USB恢复大法”，几乎现在所有的电信定制设备默认USB恢复都是关闭的，所以这种破解方法早就已经没有什么用了。绑定端口很简单，就是VLAN与相关LAN口进行绑定。其实上海电信并不像其它地方的ISP，并没有对E家终端用户进行太多的限制，如果运气好的话，更改过的超管密码可以直接从装机员那里问过来。

paul0409

楼上的ｘｄ，是不是说要想破解，只有动刀子了？

cybplus

从目前的情况来说，基本上是这样。说句不好听的，论坛谁都能来，你能来，我能来，电信相关人员也能来，厂商人员更加能来。从最早的RG100A 后门wancfg.cmd被封掉，到设备为USB恢复加上开关，然后设备默认出厂只开了一个LAN端的HTTP服务，什么LAN WAN端TELNET SSH TFTP服务全被封掉了，你以为这些都是凑巧的吗？

paul0409

奇怪的是，我的路由器在让我恢复了出厂以后，竟然啥密码都不认了，无从下手，要不然还用useradmin进去，看看能不能把u盘恢复给启用，搞不懂，XD有啥解决办法吗？

gurj

抱歉我的光纤猫是华为HG810e，之前记错了。
昨天差点把路由改得不能上网了，后来把路由用PPPoE上网就可以了，今天用备份的原始配置放入U盘插上开路由器电源，成功恢复默认配置，只把远程控制里面禁用就可以了如图。
可是发现拨号方式变成DHCP，如图。

另外确实发现如有些网友说的BT和电驴下载不稳定，一般都是200～450之间变化。不知是这个路由性能不够还是其它的原因。

gurj

回复 paul0409 的帖子

如果无法登录，除了用TTL线破解，就是叫电信来，就说我要改无线密码，无法登录路由，现在蹭网很流行，这个理由总充分了。

paul0409

回复 gurj 的帖子

哈哈，这个理由很充分，谢谢了，看来只有这样了。

paul0409

回复 cybplus 的帖子

你好，用你的那一招终于搞到管理员权限了，能推荐一个ha930e的配置文件吗？ 不是太会设置，谢了先