|
|
楼主 |
发表于 2012-12-24 19:59:57
|
显示全部楼层
maidoo 发表于 2012-12-23 14:48  0 ^1 k' m$ N+ v, N
LZ你赶快搞,我的也是杭州电信的,网上的方法都试过了,都不行的。- f( c" y) n8 V% a7 B/ P9 [; x
串口我已经连上了,115200 Kbps,启动后 ...
% V/ T7 ]% L* s7 c! L9 ^$ `( Y3 _兄弟,下面这个是华为的操作方式,我觉得可以借鉴,不过可能路径,内容有点差别,不过应该类似,今天徒弟把串口小板带出去了,没搞,明天我再搞搞。; a' e: |( c, U1 D1 s6 Q+ r
, _5 P+ s& j' H4 c发信人: mpyu (民工于某), 信区: DigiHome
! U1 N- f( \; q5 ~0 Y$ ?% A9 A# O标 题: 华为HG8245光猫破解教程 7 p% Z* F# D/ o% q5 Z5 R
发信站: 水木社区 (Mon Jul 30 01:52:43 2012), 站内
$ Y9 p! B1 h* H' t( W* Y- Z
9 a0 F! k8 D. d& O本文是原创,欢迎到处转贴,以帮助更多的人.
: ~$ ~8 a0 U7 p, Q' v最近电信光纤改造,给了一个"华为HG8245"的光猫
; U; b1 K T0 w3 u+ W众所周知,凡是天朝定制的东西一概是有限制且脑残的
- o& q* d8 f9 K# E需要分分钟破解掉它. ' i6 _) v( M8 I7 H
, }5 }3 l4 E5 p1 m! _9 g% g进入正题之前说一句...需要您有一点Linux基础,
' z' I& ?9 O3 [否则,很可能看不明白我在说啥.
! Z3 }* R6 C* c
- C+ g# a/ H& J" n$ u. Y8 X& J破解的主要工作 $ e+ S: A$ a, N' t0 g
1) 拿到超级密码,完全掌控设备 2 H- Q' Q$ J6 Z7 a0 ]
2) 破除同时上网的机器限制 ; g$ t$ W/ |" |8 G- s3 ?5 G
3) 不让电信追踪你 $ h0 k w4 G( z9 z
4) 开路由,Wifi,充分利用设备
" k* p }$ N- O 8 n2 p8 @. M2 K: p
下面开始. $ f0 c. B4 R4 l
' r9 w1 G* P- ]4 e首先...试试用户 telecomadmin 密码 nE7jA%5m 能不能进去 & K4 ]- D: v! d
电信定制的东西,一般是可以的,进去以后,网络->宽带设置
# w! V5 f0 y% f. i9 V把里面几条设置记下来,主要记 vlan id 和 802.1p 那两项 8 r1 ~# d' @8 O- a. s1 `- F" `
这个记下来,以后有用,最好再找个U盘,备份一下配置,以防万一.
( D2 k$ }) ^% [* ?1 N( p
. M d$ n# X3 u% }: p" t7 b% A如果进不去... telnet 到 192.168.1.1 用户名 root 密码
2 H( f+ T6 I6 G. O: z$ Kadmin 进去以后敲 shell 回车,这就是一个简易的linux shell % O; I- x7 s& y" ~9 m8 \
' o' s) c2 }8 Q ?cd /mnt/jffs2/ 然后 ls 看,里面有几个东西是重要的 " D2 G" e8 [ K2 k
hw_ctree.xml 这个是我们要改的配置文件,还有一个
, A4 g/ ?4 F2 F8 s% v' ^hw_ctree_bak.xml 这是"备份"用的,hw_default_ctree.xml
- Z8 v$ D# [/ P, w8 P2 w8 o这个是"出厂默认"的.
, P7 Z/ R$ N5 t# ?1 _0 P5 F
/ y+ X5 U; O# b6 r. h$ ^1 bvi hw_ctree.xml 这个文件....不会用vi的去补课先....
- b! A" p j0 X ) |% Q3 G4 C+ c
首先,查找这段...
8 r6 L2 e3 b$ h' o , d" f9 K& ]% w$ K
<X_HW_WebUserInfo NumberOfInstances="2">
+ c9 B M( J3 W5 a' F$ E' h! m<X_HW_WebUserInfoInstance InstanceID="1" UserName="telecomadmin"
8 N( J+ ~# O, u/ k+ J% ZPassword="nE7jA%5m" UserLevel="1" Enable="1"/> * X! ]% O9 H5 Z/ Y
<X_HW_WebUserInfoInstance InstanceID="2" UserName="useradmin"
: c9 b/ w0 ]! LPassword="admin" UserLevel="0" Enable="1"/> 3 r5 A7 [2 v( s2 `8 c: w5 }- ~
</X_HW_WebUserInfo>
; m. y. R {+ s) f7 a # V* [6 o6 `: Z. l
恩,现在你可以把telecomadmin,useradmin改成你喜欢的名字 ( F8 Q7 \* y- h9 ]
密码改成你喜欢的密码....
" {7 N& B r |% t/ x2 }/ A
% ]9 D j6 Q& v( [5 g# T9 J接着,查找这段. ` Y! c6 P; }4 u+ Q7 D
- ~# Z+ U# {" @" R9 e& A+ h9 O
<X_HW_CLIUserInfo NumberOfInstances="1">
, u/ J. d" E* k<X_HW_CLIUserInfoInstance InstanceID="1" Username="root" $ s7 o& ?$ x! _. ?
Userpassword="21232f297a57a5a743894a0e4a801fc3"/>
4 ^) h8 ~: R1 L3 R5 h</X_HW_CLIUserInfo> & ], l4 i0 p5 C6 p: t
' ]$ u$ Y2 e* A这个是你刚才telnet登录的用户名和密码,其中 admin 经过md5 & ~" [4 Q, m! B" `, H" Y
之后就是 21232f297a57a5a743894a0e4a801fc3 你可以改成别的
) h% `/ }/ w# p. n2 t" f5 X比如你想改成 123456 那么在Linux底下
\* J6 i' U. A* o
- h) R& K: P0 M7 {7 {" N# echo -n 123456|md5sum . V6 x0 d' P3 \4 K
e10adc3949ba59abbe56e057f20f883e - . D( L# P5 K5 c% ?. A
& Y% K8 e0 E( s/ [ Q* @; s4 o
改成Userpassword="e10adc3949ba59abbe56e057f20f883e" 就 * X' l; ]% I' D6 `7 z& g, X
可以了,手头没有Linux的话,找个"在线算md5"的地方也成... ( O2 y) g0 ^ i8 \
5 {2 g# E9 ^+ k. A! Z8 }9 p
还有一个地方,查找
3 i1 X4 @; p' g/ m& n& N3 G
4 k A5 z. W6 K% E<X_HW_UserInfo UserName="SZ00***" UserId="" Status="0" .... 7 K0 q9 L9 p6 s5 W/ B
<X_HW_ServiceManage FtpEnable="0" FtpUserName="root"
0 y b; C0 O. n$ }' H3 _FtpPassword="123456" FtpPort="21" FtpRoorDir="/mnt/usb1_1/"
& y" y4 }5 |% _# gFtpUserNum="0"/> 6 |) `6 B. I. A; P8 [/ U
<X_HW_AmpInfo EthLoopbackTimeout="0" LoidAuthLedEnable="1"/>
5 z! M0 _2 f/ o2 \' J& O2 o6 Z0 c% M
/ _, W1 g4 j$ |4 H7 P6 W( n3 b这一段,是控制用ftp上传/下载文件(一般是刷固件)时候使用的密码 1 q8 ^) u$ e. Q, ]7 t
这里改不改都行了,手勤快就把 FtpUserName 和 FtpPassword 都改了. + B8 [* K+ d M
, i1 p5 E" g) X2 _( O2 W+ {5 e- s
再然后,查找这段 * S7 I, C# V: e' W$ m
, ~. ]1 E' h% a0 F3 B
<X_HW_PortalManagement Enable="0" DefaultUrl=""/> * I/ [1 \2 c: D6 x' w
<X_HW_AccessLimit Mode="GlobalLimit" TotalTerminalNumber="2"/>
" z. L1 @8 y5 @2 u1 ]4 }6 F; n</Service> ( N4 n- { J/ A9 R: c3 r+ R: ]
: M/ s, l: h9 c+ N/ s
妈X,真底限,这个TotalTerminalNumber的意思就是,同时只能有2台 ! A% H5 D; y9 J: c9 r9 v A4 x+ U
设备上网,多了不让,随便改个你喜欢的数字,比如256差不多了吧...
2 I+ ^+ Y$ O; e9 |6 B% c. u0 z+ s+ g # }1 `8 W/ k$ `1 V n
改到这里,基本上可以了,但是如果你注意看,在管理界面->网络-> 0 O4 m0 V+ h$ I. L: _3 ?4 |
宽带设置 里面,第一个链接,是删不掉的,这个偏偏又是*TR069*
; g' e; s4 R8 k5 }$ m( v这个协议是电信用来控制你的设备的,有了这东西,你的设备啊,内网啊 9 k# d8 z" P1 S; O. \( O
基本就是透明的,所以,我认为这破玩意必须删掉. ) n9 P( O* K$ d" \& V
: b& k9 E- s# b5 E' Q删除这个比较复杂,你需要知道XML的组织方式,找到这一段 4 W/ ]2 e" v8 ]5 n% n) s/ ?
# X1 ]5 y. M2 h3 ~4 T( g<WANConnectionDevice NumberOfInstances="2">
! ~: M) Q. X9 C' P$ z1 @# e% \<WANConnectionDeviceInstance InstanceID="1" WANIPConnecti....
8 n7 r$ p6 K. } T: J9 c# ^- P, E* Y& m<X_HW_WANUpLinkConfig X_HW_Enable="1" X_HW_Mode="2" X_HW_....
% M: G4 J: k3 d/ z<WANPPPConnection NumberOfInstances="1">
0 E7 Y3 }) P+ u, O, P<WANPPPConnectionInstance InstanceID="1" Enable="1" Reset....
* \+ F! B! h3 k</WANPPPConnection> _1 v) |* B; V1 v
</WANConnectionDeviceInstance>
1 A, N) a& A9 B, @<WANConnectionDeviceInstance InstanceID="2" WANIPConnecti...
( y7 x, I& U7 [: n<X_HW_WANUpLinkConfig X_HW_Enable="1" X_HW_Mode="2" X_HW_... / u4 S+ h' L+ R3 a. S' }/ G0 v
<WANIPConnection NumberOfInstances="1">
" R/ y$ ~, K7 B5 k) A3 ]* M<WANIPConnectionInstance InstanceID="1" Enable="1" Reset...
, M* z8 ]! a! ^1 [; u% n8 ] d- [<X_HW_ExtendDHCPOPTION60 NumberOfInstances="4"> ! t' f8 Z a- _$ P5 l$ u, o2 }# s
<X_HW_ExtendDHCPOPTION60Instance InstanceID="1" Enable=...
6 t; s: a& v1 o b' `+ Q$ ]<X_HW_ExtendDHCPOPTION60Instance InstanceID="2" Enable=...
" ]9 ~9 z. ]3 [( G N) |<X_HW_ExtendDHCPOPTION60Instance InstanceID="3" Enable=... 8 `9 X8 O; F* e2 _
<WANPPPConnection NumberInstance InstanceID="4" Enable=... 3 C4 k3 @; k5 i2 G! I3 L
</X_HW_ExtendDHCPOPTION60>
6 B, L; x+ h) N B</WANIPConnectionInstance>
6 b2 |" ~/ U$ _</WANIPConnection> 1 z" V) K; q; w' b G" \8 H
</WANConnectionDeviceInstance> , Y/ s; v( q* n
</WANConnectionDevice> 9 O% A3 w l5 i. N* n4 d3 P+ Q
! H. z. u, {+ `6 {% Q很长的,我没有贴全,请注意观察, WANConnectionDevice 就是配置的
! L% f7 h0 ^" E2 f6 r"wan"连接,其中每个 "WANConnectionDeviceInstance" 是一个配置项 : b( K# Y8 y3 W" b& r$ G
这就好办了,如上面的第一行.... NumberOfInstances 是2个,我们要
7 [# P, D/ Y G: s删掉一个(减少一个),所以这里改成1.
: h0 b, f; W" W. d* M9 a+ a3 C ' A" @, B ]+ ~: w6 B" t% K' @
下面每个WANConnectionDeviceInstance都有一个InstanceID,第一个 4 L* N0 v! F; @5 d; ~
是1,第二个是2,先看看第一个,从头看到尾,发现了"TR069"字眼,没错 7 P; k5 O, p. w U d$ Z
就是它! 于是,从<WANConnectionDeviceInstance InstanceID="1"... / u/ o; S4 O- l. f# b1 H. Q2 k5 }0 b
开始,一直删到最近的 </WANConnectionDeviceInstance> 结束,搞掂.
: N) ]6 \& i7 _# `9 N, }( E 4 e2 `2 E4 ]1 U5 \4 B2 {
然后保存退出:wq 重启设备,用刚才改过的telecomadmin用户和密码登录
0 p( d/ {4 `2 T5 e/ d看看是不是好使了,那个TR069的链接是不是删掉了.telnet一下看看密码 0 l' \9 j5 o. D1 v
是不是改掉了. " ?5 X5 C. @' p9 v5 |2 x( V
~! m' o6 N0 Q' H2 n0 g
一切顺利的话,进去删掉 hw_ctree_bak.xml hw_default_ctree.xml
+ \" Y% ^& E0 [7 s# P9 c4 S这俩文件,用 hw_ctree.xml 覆盖. " f) e8 y3 w: _. p/ [
" m! N' A5 ? R. ]0 V2 F7 jrm -rf hw_ctree_bak.xml hw_default_ctree.xml : Q" F9 f- E" A) h2 y4 g, D
cp hw_ctree.xml hw_ctree_bak.xml
$ k, o8 O) g0 C9 w, r4 R. Dcp hw_ctree.xml hw_default_ctree.xml
6 j: Q3 V& ?+ E0 B. ]' ~! s* m 2 x$ Y6 u- k1 x
保存劳动成果,恩... 9 Y: T5 H6 T' W
6 {& I9 l, i' U- w8 S. |) u
进管理界面...网络->宽带设置,如果你电话走光猫的话,需要添加一个 ' g; H1 s V( I1 n
VOIP类型的链接,vlan id 用刚才记下来的,在添加一个INTERNET类型的 . T( I4 t7 i, u! n/ F1 @
连接,同样用刚才记下来的 vlan id, 是不是开路由看你的喜好.保存
9 ^5 J, a: V: S! ~& Y F% b1 Q$ t$ _重启,这就全部搞定了... w2 T4 k8 u$ w1 L- D, S, J8 Z: q
; o! g% i: V5 m
其他配置,诸如无线,防火墙神马的,都很简单,配过家用路由的人应该
3 d; w$ L/ ]; c! h" B/ r一看就懂,故不赘述. 3 p, [' \( S/ z q/ |& i" x
& T2 ^& N0 _) b& x9 \* y# r
华为的其他定制设备,也是类似的办法改配置文件,不同的是,它的配置 # n4 y0 g" a- C
可能是加密的,但加密方法脆弱,可以写个小程序,加密/解密就随便搞了,
, S$ q! q6 g @5 ?9 R默认没有开telnet服务的话(比如华为HG622),需要用备份/恢复的方法
& u- [4 X' v$ D9 |$ j5 i4 M来写入"自定义配置文件", 备份->解密->修改->加密->恢复 这么个过程.
& s+ z2 G# d, X2 t9 x& |9 z+ J : I7 n3 m8 ~9 k. d& I
-- 以下是无关话题 -- $ s8 R/ B6 b1 Y3 Z. i6 w$ |5 D; ?
' @: D2 `- C n7 c! k: e既然说到华为的这个加密,那就讲一下算法...*几乎所有* 华为家用设备 7 D1 Y6 ~: D1 {& A, ^; Z+ ]
备份出来的"配置文件",都是这么加密的,有C++代码供参考:
6 W3 D D4 x p5 W/ t& i! m 7 i5 u3 r) g) q# [3 m+ c
加密,就是挨个把ascii值乘以2,如果超过127了,就减去127,完活.
6 \5 O' e8 }" M% h * j/ P0 u$ a! R) u2 E
string encode(string input){
, R. ` z/ E( o; Q U B( _" K string rtn=""; 8 [% z/ h# J$ Q) a' E
for(int i=0;i<(signed)input.length();++i){ 3 z& S$ d6 w! e/ b
unsigned char val=input.data();
, A3 S/ R) d6 d8 m; C: w- f% N int n=val*2;
+ ~& V0 T1 D5 l7 ? if(n>127){
6 o9 F$ V V+ v+ i5 s9 F n-=127;
- g: T3 \+ O7 r( m9 ]- _; m } A% q3 h6 O# y% X; y# F5 S5 d
rtn.append(1,(char)n);
+ R0 h2 r$ v [- y* `# H } 8 i$ p; L2 [: s/ V4 c( u
return rtn;
) {2 c0 o& p- M' e: E3 x- a} 9 a, s# @+ l* q$ w/ Z! z
; ]- H1 J# Z9 Z. x1 b! Y
解密,就是加密的逆过程,模2看看,如果是单数,说明是减过127的.
/ g" ~, P+ y* K5 q( b加回来除以2,双数说明根本没超,直接除2了事. 9 ]. B+ `6 q2 C8 t; X
" L" {7 f/ }1 U/ I% V8 rstring decode(string input){ - d% S- s$ y4 T" x: C/ g2 C5 ]2 k
string rtn=""; ! |% o$ _/ a y% _
for(int i=0;i<(signed)input.length();++i){ , f+ }0 G M" A; [
unsigned char val=input.data(); 2 B9 R! L" e% _2 i4 U
int n=0;
% A0 {# A' f6 \( T if(val%2){
! T+ T7 g, J4 [& [ n=(val+127)/2;
$ ]+ ?1 Q2 L M6 V1 Q- L }else{ - x! |/ ?, f) d0 i8 g8 v
n=val/2;
: C9 p0 Z$ d6 k" Y } 6 A/ s& e& V1 C8 {
rtn.append(1,(char)n); 6 U4 l1 M# ^5 T0 K6 ?7 [
}
$ A* R- U$ w& ] return rtn;
; ]4 L* M7 U p0 Z: t}
: u) t7 H/ g+ x7 L% p
+ G: `4 E [6 `( u-- 无关话题结束 --
2 B0 S/ x6 y1 a9 y8 k # | }* J4 R% x
最后,引用一句装逼的话,结篇.
/ H0 W% o6 K+ |“Across the Great Wall We Can Reach Every Corner in the World” |
|
|Archiver|小黑屋|宽带技术网
|网站地图
发表于 2012-12-23 21:20:54
