上海电信华勤HGU421v3破解（应该也可以适用其他省份）

homey123

本人2012年10月份安装的光纤上网，一个华勤的光猫，一个无线AP，无线AP暂不去管它。只是这个光猫太让人纠结了，P2P的应用都超慢。经过海量搜索后终于搞掂了这个小野猫了（但不是绝对完美，原因后面第6步会提到），PS：百度搜索真不能用，指望百度给结果可能这辈子都没戏了。还是GOOGLE给力，下面所有的信息都是通过GOOGLE+GoAgent搞掂的。

• HGU421设备基本信息：
  设备型号 : HGU421 v3
  1 D1 d; w9 H: J% g+ @4 u3 x) z; |. L0 G6 A设备标识 : XXXXXX-XXXXXXXXXXXXXXXXXX
  硬件版本 : A0B
  软件版本 : 132.UYY.0.B.0.SH
• 所需设备
  Windows操作系统
  8 C  `/ P( n2 I* M3 p' n0 wHGU421 v3光猫
  2 s+ ~2 I3 C8 {! k5 U& i8 JUSB转TTL小板，，淘宝上有卖，价格10-20元左右，别往了让掌柜带上杜邦线，不然没法连接板子。
  十字螺丝刀
  putty.exe，串口/Telent连接用软件。（http://www.putty.org/）
• TTL连接光猫
  ' D9 b& w) }9 G9 F( ?' J/ v连接光猫的原教程在（https://www.chinadsl.net/forum.php?mod=viewthread&tid=79331）
  打开光猫的外壳（去掉背面的４个胶皮踮脚就可以看到螺丝了），用杜邦线连接到板子上
  5 {1 ?3 |6 O# I1 x, h! I
  7 Q( O- e# h! ]/ g3 ?* c线序为GND，空，TX，RX，空。空代表什么也不需要接，所以只需要三根杜邦线就可以了，一根连接USB转TTL小板与光猫的GND，另两根分别接小板与光猫的TX/RX。
  3 L: R& R, f% p- y) D) A, Z打开putty.exe连接到串口，波特率为115200。
  : {" l* Y' d7 |6 g光猫接通电源，这时候应该就可以在串口界面上看到打印了。
• 登陆串口
  接通电源后等待两三分钟，在这一段时间内串口应该会打印很多启动信息，等启动差不多完毕后，敲回车应该就可以看到下面的登陆提示了
  BCM96828 Broadband Router
  Login:
  
  用户名密码就用上面图片上的，这时候基本上就可以完全控制光猫了。
• 获取telecomadmin的超级用户密码。
  在">"提示符下输入dumpcfg会打印配置信息出来，查找telecomadmin字符串就可以得到超级用户密码了。
  # t! B) ]: ?5 H; u1 i* ?
  : q) F7 D5 i+ V2 q至此为止我们应该就可以用telecomadmin的用户登陆光猫的WEB界面了，设置神马端口影射，DMZ主机，PPPoE用户名密码应该都没问题了。BT/eMule又可以全力开动了。当然还是吸血雷最给力了：）
• 其他
  这款猫的调试方法在这里可以找到（http://wenku.baidu.com/view/9edfdcdece2f0066f53322e1.html），里面248页提到了一个Super User，用Super User登陆可以登陆许多隐藏的Web界面，经过测试，这些隐藏的Web的界面用telecomadmin用户是无法访问的。所以猜测光猫实际上应该存在三个权限级别的用户：
  useradmin: 给普通用户使用的账号，密码在光猫背面的贴纸上
    _) Q) D1 O( `* mtelecomadmin: 给电信管理员使用的账号
  ; F  K) r: ]; fSuper User: 最高权限级别，应该是厂家内部使用的
  等待高手能把Super User给破了，基本上这款小野猫就可以被完全驯服了。
• 小技巧
  0 N$ w8 ^7 _/ H, m; a! J, k) ?登陆串口后，可以带开telent服务，这样以后再次登陆光猫就不用串口了。在串口下输入：
  5 J. a5 p( u8 x% n' O) a> localservice telnet enable
  > save
  8 c0 [0 _/ E- R- @( V7 n6 o当然这样也有一个小问题，这个telnet服务也可以被外部访问，例如光猫pppoe的外部ip是202.19.11.22，这个IP地址也是可以从外部telnet登陆的。目前我的解决方法就是每次重启光猫后，telnet到光猫然后关闭telnet服务：
  > localservice telnet disable
  虽然麻烦点，好在光猫一般几个月也不重启一次。（另外还有个ftp服务可以用localservice ftp enable开启，用户名密码都是e8ftp，暂时用不上所以没开）
  telnet用户名密码都是e8telnet
• 光猫根文件系统下所有文件列表：
  
  / c4 m. A0 M" F. p9 d* e: L" i可以在/webs目录下查看到所有html文件，其中有些可以html文件用useradmin/telecomadmin用户都无法访问，猜测用Super User用户应该可以正常打开（残念）
  

heziguo

      </X_CT-COM_Syslog>
8 G6 l  r# b$ k/ b6 C$ |      <X_CT-COM_ReConnect>
        <Enable>TRUE</Enable>
      </X_CT-COM_ReConnect>
) j7 N$ L, v6 _( w8 k! n      <X_CT-COM_ServiceManage>
/ M3 A. o8 q- ^1 j  L# A        <FtpEnable>TRUE</FtpEnable>
# P% I  k6 r/ F! E        <FtpUserName>e8ftp</FtpUserName>
        <FtpPassword>e8ftp</FtpPassword>
        <FtpPort>21</FtpPort>
- v& l/ F: v' R6 E7 w( [        <FtpChanged>TRUE</FtpChanged>
        <TelnetEnable>TRUE</TelnetEnable>
        <TelnetUserName>e8telnet</TelnetUserName>
+ X& ~9 R$ k- [* A        <TelnetPassword>e8telnet</TelnetPassword>
9 g6 W2 v- H, X        <TelnetPort>23</TelnetPort>
* O" \1 Y. l% G3 j; g        <ConsoleUserName>admin</ConsoleUserName>
, f7 @& S0 z. g$ y1 o4 |2 U7 l        <ConsolePassword>v2mprt</ConsolePassword>
% {: }! }  R9 i8 S2 N: G. o; i8 n
& q. N6 q& f7 l* @+ E+ Vtelnet的账号密码是e8telnet  e8telnet
: P% ~" r7 ]9 |我是用的dumpmdm这个命令找到的

644196867

现在的光猫真难搞

heziguo

dumpcfg这个还是第一次听说
& Q3 T$ \$ H9 l; X你是怎么知道的啊我上次TTL登录进去什么都没用
; ]2 Y& n9 a& o! r, k基本看不到什么有用的命令
9 k$ F. Q! `& A; `4 H9 m' a

homey123

heziguo 发表于 2013-4-20 23:51
3 W: N5 ?- Y4 P1 X. ?) @dumpcfg这个还是第一次听说
# M* G: z+ A, R+ {9 e# V( b你是怎么知道的啊我上次TTL登录进去什么都没用
% `' ^* K! K- U! O/ a8 X5 H基本看不到什么有用的命令

在">"提示符下敲个问号“?"就可以看到所有的命令了！
3 W  r- B3 ?+ l0 I6 N8 R还有 > wanlimit set totalnum 20 可以把可连接的PC数加到20个（默认5个）

heziguo

wanlmit set totalnum 20 这个也是？里面的？

homey123

heziguo 发表于 2013-4-21 11:10
+ J- i1 a, q6 Q' d8 ~" Z% m# lwanlmit set totalnum 20 这个也是？里面的？

是的，修正一下刚才的命令，少写一个了字母，应该是wanlimit set totalnum 20，设置完后需要save一下，不然下次重启又恢复了。如果要查看命令的使用方法，直接敲命令就可以了，在没有带参数的情况下，会提示该命令的usage，不过有些不需要带参数的命令，如果直接敲就执行了，例如save。
5 o: ?  @1 w0 j5 Y6 |+ c
串口上输入用户名/密码登陆后，输一个问号所有的可用命令就列出来了。
BCM96828 Broadband Router
5 J- e& W* c- T1 u; _9 a# h4 MLogin: admin
Password:
. e5 T* P& z; v0 d, r >
/ D2 F' R; I. w2 X# s- K5 ]0 s > ?
+ o0 p( ^* i. B?
help
6 a1 C6 e5 ]% k3 O. `3 ?logout
( A- \3 I4 k' L$ X0 |# s$ vexit
! |: `' t4 G& h: `quit
2 O" G; Z3 e$ |4 z2 ^* }9 u- z# lreboot
brctl
' ?& \1 U* F; }2 Bcat
loglevel
6 I6 A8 @9 o! d( tlogdest
virtualserver
ddns
df
/ D. E3 `. p; }2 M  }7 y1 M$ t' Q! A3 ndumpcfg
dumpmulticfg
" s/ d  R. [0 l+ s6 o+ d+ X) bdumpmdm
7 H! m8 G. W4 @+ M# s" p+ Ymeminfo
7 `( ]0 m# K2 O7 u3 |% \psp
kill
dnsproxy
syslog
echo
# @- j6 d; c0 J4 S& Y7 C" \1 j; kifconfig
ping
ps
) l2 \) E5 |6 ?4 Z0 m2 j: Dpwd
sntp
2 w" E0 j; n6 `% ~2 Y- asysinfo
tftp
voice
wlctl
arp
defaultgateway
* h; H3 v8 j% k$ k4 q9 Udhcpserver
dns
lan
lanhosts
$ x5 ]6 h$ ^3 p- G) v$ ]  Gpasswd
) t) {. N9 P- appp
restoredefault
psiInvalidateCheck
5 C6 H. q' X6 z( p$ |, wroute
& {) t! j. H! D; ^' Y2 a9 e. e7 x( Psave
  |8 j$ X* y2 c" ~) Sswversion
uptime
1 t$ [3 L) ?" h2 s% wcfgupdate
swupdate
! G5 j- K4 [/ \% b6 TexitOnIdle
0 [4 ]: r' e7 ?& Swan
, F7 y& x- |0 t* s. v( Zbtt
$ G9 g. s' S6 k+ w7 h8 Boam
- x) c0 b* K! Hlaser
# X' D; ^: ]$ Zoverhead
sendInform
wlanpower
atbp
- O6 O( z9 V, ?. Q# y7 L, zctrate
% m3 _( Y' M2 \% {4 Ltestled
ipversionmode
$ ]% j! F' d0 l* M* k0 G/ E/ i. pdumptr69soap
5 W' l. d' a) s# `4 Tlan2lanmcast
! J0 o4 n" U4 m  `8 Y- xtelecomaccount
4 c. i" T+ C5 H) z8 M; R" O3 T3 Uwanlimit
userinfo
localservice
tcptimewait
atsh
  w: x/ `. e' f6 l0 Zoption125Mode
eponlinkper
! L) H* C  V5 |3 G2 hsetponlinkuptime
loidtimewait
>
1 V( m! W" w- y; u. R >
8 l0 l. n3 `8 Q  i! a* P9 G) P& |* G--------------------------------------------------------------------
6 U- l9 W$ E- I: `; L! j3 X0 S查看wanlimit的使用方法
2 R* m9 v/ P" c- \ >
6 {- j+ r! v  y > wanlimit
usage:
   wanlimit show: show the wan limit information.
; b6 B  A1 D, K2 |  ]; v   wanlimit set mode <0|1|2>: set the mode of wan limit, 0:disable  1:enable mode 1 2:enable mode 2.
( M/ x4 \# k1 q" A9 h: r   wanlimit set totalnum <number>: set the TotalTerminalNumber.
7 C8 i; O7 U# S8 s& F; J- y3 h- \$ r: h   wanlimit set stbenable <0|1>: set the STBRestrictEnable, 0:disable  1:enable.
   wanlimit set stbnum <number>: set the STBNumber.
0 A9 o' T1 l* L+ l3 W   wanlimit set cameraenable <0|1>: set the CameraRestrictEnable, 0:disable  1:enable.
9 K- i; }& `* t! l, q   wanlimit set cameranum <number>: set the CameraNumber.
   wanlimit set computerenable <0|1>: set the ComputerRestrictEnable, 0:disable  1:enable.
   wanlimit set computernum <number>: set the ComputerNumber.
" I1 j. H6 y7 ?! d6 c2 `   wanlimit set phoneenable <0|1>: set the PhoneRestrictEnable, 0:disable  1:enable.
  ?- K+ r4 T, w' M   wanlimit set phonenum <number>: set the PhoneNumber.
>
很容易理解wanlimit set totalnum就是设置终端连接限制数的命令了。

swcnchen

好贴！谢谢楼主。

dsb007

厉害！重要的就是串口连上去的密码啊！

快乐大叔

您好，老大，这个问题没有，（SUPER USER) 能处理吗?
请问，如何修改配置文件，我想给HGU421N V3开多一条SSID,看到里面有4条，但只有一条能给我们用，而且还不能改前面部份，请帮忙，谢谢，我家ITV也是无线的，拉根网线从客厅中间穿过实在太丑陋了。(daku:

homey123

快乐大叔 发表于 2013-5-8 00:16
您好，老大，这个问题没有，（SUPER USER) 能处理吗?
. F( h' Y3 {* a8 F: M请问，如何修改配置文件，我想给HGU421N V3开多一条S ...

- W9 W2 A, t* G7 t8 V猫的无线功能被关闭掉了，新的家庭网关无线功能都给关闭了！
我也不会开这个，后来偶是接自己的无线路由拨号上网的。