上海电信华勤HGU421v3破解（应该也可以适用其他省份）

homey123

9 w4 r, x4 ?2 b8 ]# l4 u! C

本人2012年10月份安装的光纤上网，一个华勤的光猫，一个无线AP，无线AP暂不去管它。只是这个光猫太让人纠结了，P2P的应用都超慢。经过海量搜索后终于搞掂了这个小野猫了（但不是绝对完美，原因后面第6步会提到），PS：百度搜索真不能用，指望百度给结果可能这辈子都没戏了。还是GOOGLE给力，下面所有的信息都是通过GOOGLE+GoAgent搞掂的。
; D# k* e2 ~8 e/ U) L: n: y

• HGU421设备基本信息：
  设备型号 : HGU421 v3
  设备标识 : XXXXXX-XXXXXXXXXXXXXXXXXX
  5 f, F: ?! [0 B5 ~硬件版本 : A0B
  软件版本 : 132.UYY.0.B.0.SH
• 所需设备
  9 J6 u8 z" Z# p2 JWindows操作系统
  / ~0 K5 z+ D' o8 P) M5 ~* t3 F9 FHGU421 v3光猫
  ! ^1 G! C( f( d# c( G9 X7 Y* vUSB转TTL小板，，淘宝上有卖，价格10-20元左右，别往了让掌柜带上杜邦线，不然没法连接板子。
  十字螺丝刀
  ! w) Q  q' `7 \; ~2 a2 kputty.exe，串口/Telent连接用软件。（http://www.putty.org/）
• TTL连接光猫
  / g( o0 x5 E+ ?$ h0 M连接光猫的原教程在（https://www.chinadsl.net/forum.php?mod=viewthread&tid=79331）
  . q! P0 u2 g( ~4 V( [打开光猫的外壳（去掉背面的４个胶皮踮脚就可以看到螺丝了），用杜邦线连接到板子上
  . E" ^' \) w& O5 m
  线序为GND，空，TX，RX，空。空代表什么也不需要接，所以只需要三根杜邦线就可以了，一根连接USB转TTL小板与光猫的GND，另两根分别接小板与光猫的TX/RX。
  打开putty.exe连接到串口，波特率为115200。
  ) Q( A/ P, i+ {! R5 y9 W: R; z- I8 w光猫接通电源，这时候应该就可以在串口界面上看到打印了。
• 登陆串口
  接通电源后等待两三分钟，在这一段时间内串口应该会打印很多启动信息，等启动差不多完毕后，敲回车应该就可以看到下面的登陆提示了
  BCM96828 Broadband Router
    D& e0 }- `2 XLogin:
  9 Y+ ]3 b1 Q* q3 ~0 _% q
  用户名密码就用上面图片上的，这时候基本上就可以完全控制光猫了。
• 获取telecomadmin的超级用户密码。
  1 j8 t7 Y" Y. ^9 V2 U在">"提示符下输入dumpcfg会打印配置信息出来，查找telecomadmin字符串就可以得到超级用户密码了。
  
  至此为止我们应该就可以用telecomadmin的用户登陆光猫的WEB界面了，设置神马端口影射，DMZ主机，PPPoE用户名密码应该都没问题了。BT/eMule又可以全力开动了。当然还是吸血雷最给力了：）
• 其他
  , z' V, z7 W8 q' l, n  d8 B; ~% r! I这款猫的调试方法在这里可以找到（http://wenku.baidu.com/view/9edfdcdece2f0066f53322e1.html），里面248页提到了一个Super User，用Super User登陆可以登陆许多隐藏的Web界面，经过测试，这些隐藏的Web的界面用telecomadmin用户是无法访问的。所以猜测光猫实际上应该存在三个权限级别的用户：
  useradmin: 给普通用户使用的账号，密码在光猫背面的贴纸上
  telecomadmin: 给电信管理员使用的账号
  Super User: 最高权限级别，应该是厂家内部使用的
  等待高手能把Super User给破了，基本上这款小野猫就可以被完全驯服了。
• 小技巧
  登陆串口后，可以带开telent服务，这样以后再次登陆光猫就不用串口了。在串口下输入：
  4 m5 z  e' \  e, e& @% s. m> localservice telnet enable
  > save
  当然这样也有一个小问题，这个telnet服务也可以被外部访问，例如光猫pppoe的外部ip是202.19.11.22，这个IP地址也是可以从外部telnet登陆的。目前我的解决方法就是每次重启光猫后，telnet到光猫然后关闭telnet服务：
  4 f) e6 }6 Q; @7 u3 A, Y. d> localservice telnet disable
  ( b4 ^* F2 ^0 c  ^$ ^4 d! H8 p: r/ {虽然麻烦点，好在光猫一般几个月也不重启一次。（另外还有个ftp服务可以用localservice ftp enable开启，用户名密码都是e8ftp，暂时用不上所以没开）
  & W' L6 A0 o1 Ttelnet用户名密码都是e8telnet
• 光猫根文件系统下所有文件列表：
  
  可以在/webs目录下查看到所有html文件，其中有些可以html文件用useradmin/telecomadmin用户都无法访问，猜测用Super User用户应该可以正常打开（残念）
  : a( |* K1 k% ^

# E, K0 F8 L& v0 d" ^  p: }# O) f

heziguo

      </X_CT-COM_Syslog>
      <X_CT-COM_ReConnect>
4 p* `  Y* N% V+ C2 F        <Enable>TRUE</Enable>
      </X_CT-COM_ReConnect>
! H1 v3 [8 ]2 i0 D$ e6 W7 p      <X_CT-COM_ServiceManage>
        <FtpEnable>TRUE</FtpEnable>
        <FtpUserName>e8ftp</FtpUserName>
        <FtpPassword>e8ftp</FtpPassword>
6 f# T- q) ~+ K" L! h  g1 P        <FtpPort>21</FtpPort>
        <FtpChanged>TRUE</FtpChanged>
        <TelnetEnable>TRUE</TelnetEnable>
- L/ k  M' |8 c; Q& h& W: g3 o! X) S        <TelnetUserName>e8telnet</TelnetUserName>
* H) P+ v2 k! G$ T% a* Y        <TelnetPassword>e8telnet</TelnetPassword>
4 q0 q& E! \0 A- ~        <TelnetPort>23</TelnetPort>
0 A# v+ f! S  Y2 U' t) K% m+ f        <ConsoleUserName>admin</ConsoleUserName>
        <ConsolePassword>v2mprt</ConsolePassword>
" p% S7 k/ F  r9 o8 P7 t$ n
telnet的账号密码是e8telnet  e8telnet
3 ~6 C) b, U( L/ T我是用的dumpmdm这个命令找到的

644196867

现在的光猫真难搞

heziguo

dumpcfg这个还是第一次听说
+ y8 h/ k, }; U+ [4 H' S; y你是怎么知道的啊我上次TTL登录进去什么都没用
基本看不到什么有用的命令
+ k3 ^% ?8 m5 W/ A2 S8 A' V* x" k

homey123

heziguo 发表于 2013-4-20 23:51
3 x2 S& u$ a$ O0 W% E& e0 s( fdumpcfg这个还是第一次听说
你是怎么知道的啊我上次TTL登录进去什么都没用
$ ~, v. @! \- c& ~2 u' F基本看不到什么有用的命令

在">"提示符下敲个问号“?"就可以看到所有的命令了！
还有 > wanlimit set totalnum 20 可以把可连接的PC数加到20个（默认5个）

heziguo

wanlmit set totalnum 20 这个也是？里面的？

homey123

heziguo 发表于 2013-4-21 11:10
wanlmit set totalnum 20 这个也是？里面的？

是的，修正一下刚才的命令，少写一个了字母，应该是wanlimit set totalnum 20，设置完后需要save一下，不然下次重启又恢复了。如果要查看命令的使用方法，直接敲命令就可以了，在没有带参数的情况下，会提示该命令的usage，不过有些不需要带参数的命令，如果直接敲就执行了，例如save。

* R6 |, m) [3 I+ y- L% Z串口上输入用户名/密码登陆后，输一个问号所有的可用命令就列出来了。
BCM96828 Broadband Router
Login: admin
3 B7 b0 q) J7 ^$ ^; XPassword:
>
> ?
?
. ?( a: e* O; l5 k- P) T1 a" ohelp
! j2 R' g# w. C2 z1 `4 Z) j% \6 Plogout
exit
quit
' u; n4 E( v# S, F! N' Q8 B3 Hreboot
brctl
cat
: ]. O! ?0 w2 M$ y2 bloglevel
; \# a- F* m( xlogdest
virtualserver
ddns
df
2 D+ N# t0 U9 I; E5 V7 \- Tdumpcfg
/ O' J( Y+ T. D$ o% idumpmulticfg
dumpmdm
meminfo
5 Y1 U7 _0 V4 J1 Kpsp
6 N* _% i3 y' f5 N, z" mkill
dnsproxy
syslog
echo
ifconfig
% g9 h, j3 k0 ~" `ping
9 I: C; g* T( P/ J6 J4 y: Jps
& X" {* p" p0 \/ Cpwd
sntp
sysinfo
6 m+ `) f) M; g) K5 ?0 ?tftp
) Z; \0 Y( A1 s* ]voice
0 P5 w' @. ~1 |1 F5 Wwlctl
0 G3 s2 l4 T- sarp
defaultgateway
& Z0 S- l2 R' _4 kdhcpserver
dns
lan
8 \2 D9 h6 S- n! ^9 T+ }  H7 Tlanhosts
passwd
" S% P+ Y$ p0 V' z" }ppp
restoredefault
& F) ]; \+ j5 o0 `psiInvalidateCheck
3 t; j7 X# a5 hroute
2 o: s- f" L; A: R" x0 F$ dsave
4 E, v2 o+ ?( k6 z! |% L' aswversion
9 U- A/ B, t8 \: r, o: Nuptime
cfgupdate
swupdate
exitOnIdle
wan
btt
oam
( |/ H3 S: Y7 U: J2 vlaser
overhead
/ @, @  c% O1 O6 \sendInform
wlanpower
atbp
  \2 h: b' X2 h+ |ctrate
8 q3 @; Z( J: ytestled
ipversionmode
dumptr69soap
lan2lanmcast
2 M3 H: U4 \0 T7 ]8 ]5 v7 {, [telecomaccount
& a: R+ @2 ]$ s: a0 bwanlimit
; V; c+ ]# N% z" W3 W# Buserinfo
localservice
tcptimewait
atsh
: D5 P4 l6 _* j$ p, foption125Mode
eponlinkper
setponlinkuptime
+ S7 A# O( k* @  [4 M( Uloidtimewait
>
4 E4 _) k/ J' S5 F >
7 K  f* c& T' t) D# V: B--------------------------------------------------------------------
查看wanlimit的使用方法
( U! R# O0 ^' C" W3 T >
* A- h" j7 u2 T$ F > wanlimit
+ e5 F9 Q3 M1 e+ Lusage:
- n3 O! b8 r+ l5 ~. `) _   wanlimit show: show the wan limit information.
   wanlimit set mode <0|1|2>: set the mode of wan limit, 0:disable  1:enable mode 1 2:enable mode 2.
' N# j+ i5 m4 q) f   wanlimit set totalnum <number>: set the TotalTerminalNumber.
   wanlimit set stbenable <0|1>: set the STBRestrictEnable, 0:disable  1:enable.
2 t9 v. I/ H0 B   wanlimit set stbnum <number>: set the STBNumber.
* W, f% O5 A- T6 W) K  _3 V# a  N   wanlimit set cameraenable <0|1>: set the CameraRestrictEnable, 0:disable  1:enable.
   wanlimit set cameranum <number>: set the CameraNumber.
   wanlimit set computerenable <0|1>: set the ComputerRestrictEnable, 0:disable  1:enable.
( N2 D4 j& `* X. ~: P2 U' r   wanlimit set computernum <number>: set the ComputerNumber.
   wanlimit set phoneenable <0|1>: set the PhoneRestrictEnable, 0:disable  1:enable.
' ]; ^; Z4 l' s( e   wanlimit set phonenum <number>: set the PhoneNumber.
>
. ~' o6 e; X2 ]+ t3 O很容易理解wanlimit set totalnum就是设置终端连接限制数的命令了。

swcnchen

好贴！谢谢楼主。

dsb007

厉害！重要的就是串口连上去的密码啊！

快乐大叔

您好，老大，这个问题没有，（SUPER USER) 能处理吗?
请问，如何修改配置文件，我想给HGU421N V3开多一条SSID,看到里面有4条，但只有一条能给我们用，而且还不能改前面部份，请帮忙，谢谢，我家ITV也是无线的，拉根网线从客厅中间穿过实在太丑陋了。(daku:

homey123

快乐大叔 发表于 2013-5-8 00:16
1 Y0 R& ~9 {" d' ~6 v您好，老大，这个问题没有，（SUPER USER) 能处理吗?
请问，如何修改配置文件，我想给HGU421N V3开多一条S ...

猫的无线功能被关闭掉了，新的家庭网关无线功能都给关闭了！
我也不会开这个，后来偶是接自己的无线路由拨号上网的。