RG100A-BA E8-B 破解阉割猫成路由器

apollocq

设备型号: RG100A-BA  
设备标识号: *************
硬件版本: V1.0  
软件版本: RG100A_V1.0  
平台型号: E8-B

逛了几圈论坛，发现很多人都是AA的破解，没有介绍，有很多人回帖都在找BA的破解，电信天翼赠送的无线路由器有一个隐藏的超级管理员帐号，这个帐号可以使用许多隐藏功能，大部分用户名都是telecomadmin，不过试了下网上的默认密码nE7jA%5m，对天翼的路由根本不管用，而且网络上也并没有关天翼路由的破解方法（拆机的除外）。在这里我将破解路由的方法跟大家分享下，这里我使用的路由型号为RG100A-BA，不是这个型号的也建议你们看看，我估计电信无线路由的破解思路都是差不多的。

首先，在破解你的路由前果断的把电话线拔了，因为电信路由默认设置里有一项是每隔一段时间上报你路由的设置，并将路由的设置与服务器同步,而且网上有人说电信发现你在破解的话会封你的路由器，为了安全起见，把电话线拔了好点。

下面使用电信提供给你的用户帐号进入路由器（这里天翼的路由的IP地址为http://192.168.1.1），帐号一般为useradmin。进入之后我们打开 http://192.168.1.1/backupsettings.conf 这个链接，这个链接指向的就是路由器的配置文件，当你打开他后，浏览器默认会下载这个文件，如果你使用的是IE的话，或许会提示无法获取此文件，这时你只需使用下载工具，用下载工具下载上面的链接，下载完后使用记事本打开这个文件，搜索password，找到两个password夹着的那串字符（从头开始找，第一个就是），那个就是密码，我的是<password>telecomadminXXXXX</password>，这个就是超管的密码了，帐号默认为telecomadmin。用这个帐号密码登陆后转到远程控制页面，把远程控制服务器地址改掉，随便改成一个不存在的网址就可以了。不过我的路由器里修改完没有发现保存按钮，其实这个是因为电信将页面上的某些按钮隐藏掉了，我们只需打开远程控制的原网页修改即可，网址为：http://192.168.1.1/tr69cfg.html。

下面为了防止电信再次改回来，我们需要将超管和普通用户的密码改掉（或许电信也会使用这种方法获得超管的密码，为了保险起见），普通用户密码可以直接在路由器用户管理里修改。而超管的密码需要在配置文件中修改，修改方法可以使用超管账号登陆，找到USB备份，插入U盘到路由器上，将配置文件配份下来，打开搜索超管的密码，搜索到后替换成你想要更改的密码就可以了。然后通过备份页的恢复配置，就更改完成了超管密码了。（偶的路由器中备份出来的配置文件是经过加密了的，如果你会解密的话就在好不过了，解密配置文件，修改配置，最后一定要加密才能恢复。不过还有一个更简单的方法，就是直接修改刚开始下载下来的backupsettings.conf文件，这个就是正在使用的配置文件，直接将里面的原密码替换掉，就可以起到更改密码的作用，不过天翼路由器中上传的页面依旧被电信隐藏掉了，需要打开隐藏页面：http://192.168.1.1/updatesettings.html就可以上传了。）

修改完后就应该已经脱离了电信的魔爪了，除非电信偷偷在你的路由中安装了一个隐藏的后门。仔细看看，这个路由里的功能还不少喃，大家在修改前请记住一点，一定得找个记事本将原版的数据记录下来，否则修改错了，连不上网就悲剧了。
写到这里，估计大家都会有想问：蓝莓，你是怎么找到配置文件的地址，怎么找到隐藏页面的喃？呵呵下面开始讲解破解的思路：

首先查看登陆页面源码，看看源码中是否含有超管密码，在路由的登陆页面中并没有密码。下面登陆useradmin帐号，继续查看源码，在源码中我发现一处地方爆出了超管的用户名为telecomadmin，看来电信没有更改超管帐号，但是密码在源码中并没有提到。不过在切换不同页面时发现网页的网址一直为http://192.168.1.1/main.html，这就表示所有查看到的页面都是通过main.html载入的，所看到并不是原页面，也就是说main.html只是一个框架而已。下面找到所有原页面打开看看，找原页面的地址只需右击main上的按钮选择属性，里面写有页面源地址。不过打开后发现所有内容跟原来从main中看到的一样，这就代表main并没有过滤掉网页的信息，但是在寻找过程中发现，有部分网页地址前面都有一个ct，我们试试将ct去掉后在访问网页看看，果然，在设备信息页面发现了与main不同的地方，多出了上行速率、下行速率，板卡ID等等信息，看来没有找错，由此也说明电信并没有禁止useradmin用户访问隐藏页面。不过找到了隐藏页面后还是没有找到超管密码，怎么办喃？

不知道大家有没有注意，在登陆帐号时，提交登陆的网址为http://192.168.1.1/login.html?us ... &password=XXXXX，这个是一个典型动态页面的提交方式，也就是说超管的帐号密码是存储在数据库里的，在网站源码中是不可能找到的。刚开始的时候我也没注意到，知道网页提示我登陆过期，请重新登陆，然后我使用opera登陆的时候卡在这个页面了，这才发现它是使用数据的。

既然是使用数据库，我们开始试试能否将数据库下载下来，以此得到超管的密码，既然是向数据库提交数据的话，那肯定是使用抓包工具获得数据提交地址喽，抓完包后发现，提交的地址为http://192.168.1.1/backupsettings.conf看来这个路由使用的不是数据库文件。下面的将他输入到浏览器中下载它（记住得登陆后才能下载）下载以及获得密码的方法上面写过了，这里就不提了。

下面使用超管帐号登陆，登陆的时候再次抓个包看看，你会发现很多惊喜。数据包中将所有隐藏页面的地址都显示出来呦！至此路由的破解就此完成了。

在这里为了方便大家，提供一些路由器RG100A-BA可能会用到的隐藏页面地址：
点击展开点击收起导入配置文件位置http://192.168.1.1/updatesettings.html
关闭远控页面：http://192.168.1.1/tr69cfg.html
功能选择页面：http://192.168.1.1/scsrvcntr.cmd?action=view
配置文件地址：http://192.168.1.1/backupsettings.conf
ATM PVC配置：http://192.168.1.1/cfgatm.html
载入证书页面：http://192.168.1.1/certloadsigned.html
导入CA证书：http://192.168.1.1/certimport.html
创建新证书请求：http://192.168.1.1/certadd.html
ADSL BER测试启动：http://192.168.1.1/berstart.html
ADSL BER测试结果：http://192.168.1.1/berstop.html
WAN服务配置向导：http://192.168.1.1/wansrvc.html
WAN统计数据报表：http://192.168.1.1/statswan.html
接入时间限制：http://192.168.1.1/todmngrview.html
接口分组：http://192.168.1.1/portmap.html

到目前为止，还没有解决限制四台的问题，希望高手进行解读，也麻烦给小弟来个信告知，感激不尽。这个型号的路由是个不错的路由，值得研究和支持，就是无线有线总量限制四台机器上网有点憋足，希望得以解决困惑。以上介绍只供测试，不得用于商业和非法用途，后果自负。

lgs315

好贴啊！不可多得！！！

1on1X22

过程写的比较详细，但是我发现这个阉割版的固件功能限制的太多了。比方说无法实时查看当前所有接入设备的IP和MAC以及流量等信息，MAC过滤功能似乎也无效。

chenjiasdf

啊，不可多得的好贴啊！楼主真是高人，我的是光猫路由一体机RG2010—CA，没有WiFi、USB。用楼主的方法成功破解，估计贝尔的“RGXXXX 什么型号”都是一样的！

saleens-7

好帖,不过现在看来即使型号都是rg100a-ba,也有不一样的地方,我的超管密码就是nE7jA%5m,且http://192.168.1.1/tr69cfg.html 这个页面破解了也打不开,不知道楼主有没有办法能把telnet功能的用户名和密码搞到,诚心求教