上海电信华勤HGU421v3破解（应该也可以适用其他省份）

homey123

本人2012年10月份安装的光纤上网，一个华勤的光猫，一个无线AP，无线AP暂不去管它。只是这个光猫太让人纠结了，P2P的应用都超慢。经过海量搜索后终于搞掂了这个小野猫了（但不是绝对完美，原因后面第6步会提到），PS：百度搜索真心不好用，指望百度给结果可能这辈子都没戏了。还是GOOGLE给力，下面所有的信息都是通过GOOGLE+GoAgent搞掂的。

• HGU421设备基本信息：
  设备型号 : HGU421 v3
  设备标识 : XXXXXX-XXXXXXXXXXXXXXXXXX
  硬件版本 : A0B
  软件版本 : 132.UYY.0.B.0.SH
• 所需设备
  Windows操作系统
  HGU421 v3光猫
  USB转TTL小板，，淘宝上有卖，价格10-20元左右，别往了让掌柜带上杜邦线，不然没法连接板子。
  十字螺丝刀
  putty.exe，串口/Telent连接用软件。（http://www.putty.org/）
• TTL连接光猫
  连接光猫的原教程在（https://www.chinadsl.net/forum.php?mod=viewthread&tid=79331）
  打开光猫的外壳（去掉背面的４个胶皮踮脚就可以看到螺丝了），用杜邦线连接到板子上
  
  线序为GND，空，TX，RX，空。（空代表什么也不需要接），只需要三根杜邦线就可以了，一根连接USB转TTL小板与光猫的GND，另两根分别接小板与光猫的TX/RX。
  打开putty.exe连接到串口，波特率为115200。
  光猫接通电源，这时候应该就可以在串口界面上看到打印了。
• 登陆串口
  接通电源后等待两三分钟，在这一段时间内串口应该会打印很多启动信息，等启动差不多完毕后，敲回车应该就可以看到下面的登陆提示了
  BCM96828 Broadband Router
  Login:
  
  用户名密码就用上面图片上的，这时候基本上就可以完全控制光猫了。
• 获取telecomadmin的超级用户密码。
  在">"提示符下输入dumpcfg会打印配置信息出来，查找telecomadmin字符串就可以得到超级用户密码了。
  
  至此为止我们应该就可以用telecomadmin的用户登陆光猫的WEB界面了，设置神马端口影射，DMZ主机，PPPoE用户名密码，终端连接限制数，应该都没问题了。BT/eMule又可以全力开动了。当然还是吸血雷最给力了：）
• 其他
  这款猫的调试方法在这里可以找到（http://wenku.baidu.com/view/9edfdcdece2f0066f53322e1.html），里面248页提到了一个Super User，用Super User登陆可以登陆许多隐藏的Web界面，经过测试，这些隐藏的Web的界面用telecomadmin用户是无法访问的。所以猜测光猫实际上应该存在三个权限级别的用户：
  useradmin: 给普通用户使用的账号，密码在光猫背面的贴纸上
  telecomadmin: 给电信管理员使用的账号
  Super User: 最高权限级别，应该是厂家内部使用的
  等待高手能把Super User给破了，基本上这款小野猫就可以被完全驯服了。
• 小技巧
  登陆串口后，可以打开telent服务并保存，这样以后再次登陆光猫就不用串口了。在串口下输入：
  > localservice telnet enable
  > save
  当然这样也有一个小问题，这个telnet服务也可以被外部访问，例如光猫pppoe的外部ip是202.19.11.22，这个IP地址也是可以从外部telnet登陆的。目前我的解决方法就是每次重启光猫后，telnet到光猫然后关闭telnet服务：
  > localservice telnet disable
  虽然麻烦点，好在光猫一般几个月也不重启一次。（另外还有个ftp服务可以用localservice ftp enable开启，用户名密码都是e8ftp，根目录是/mnt，暂时用不上所以没开）
  telnet用户名密码都是e8telnet
• 光猫根文件系统下所有文件列表：
  hgu421v3_files.rar (21.43 KB, 下载次数: 3)
  可以在/webs目录下查看到所有html文件，其中有些可以html文件用useradmin/telecomadmin用户都无法访问，猜测用Super User用户应该可以正常打开（残念）
• 其他有用的命令
  wanlmit set totalnum 20 （将终端连接数设置为20个，默认为5个）
  输入问号“?"可以查看所有可用的命令
  查看命令的使用方法，直接敲命令就可以了，在没有带参数的情况下，会提示该命令的usage，不过有些不需要带参数的命令，如果直接敲就执行了，例如save。
  BCM96828 Broadband Router
  Login: admin
  Password:
  >
  > ?
  ?
  help
  logout
  exit
  quit
  reboot
  brctl
  cat
  loglevel
  logdest
  virtualserver
  ddns
  df
  dumpcfg
  dumpmulticfg
  dumpmdm
  meminfo
  psp
  kill
  dnsproxy
  syslog
  echo
  ifconfig
  ping
  ps
  pwd
  sntp
  sysinfo
  tftp
  voice
  wlctl
  arp
  defaultgateway
  dhcpserver
  dns
  lan
  lanhosts
  passwd
  ppp
  restoredefault
  psiInvalidateCheck
  route
  save
  swversion
  uptime
  cfgupdate
  swupdate
  exitOnIdle
  wan
  btt
  oam
  laser
  overhead
  sendInform
  wlanpower
  atbp
  ctrate
  testled
  ipversionmode
  dumptr69soap
  lan2lanmcast
  telecomaccount
  wanlimit
  userinfo
  localservice
  tcptimewait
  atsh
  option125Mode
  eponlinkper
  setponlinkuptime
  loidtimewait
  >
  >
  --------------------------------------------------------------------
  查看wanlimit的使用方法
  >
  > wanlimit
  usage:
     wanlimit show: show the wan limit information.
     wanlimit set mode <0|1|2>: set the mode of wan limit, 0:disable  1:enable mode 1 2:enable mode 2.
     wanlimit set totalnum <number>: set the TotalTerminalNumber.
     wanlimit set stbenable <0|1>: set the STBRestrictEnable, 0:disable  1:enable.
     wanlimit set stbnum <number>: set the STBNumber.
     wanlimit set cameraenable <0|1>: set the CameraRestrictEnable, 0:disable  1:enable.
     wanlimit set cameranum <number>: set the CameraNumber.
     wanlimit set computerenable <0|1>: set the ComputerRestrictEnable, 0:disable  1:enable.
     wanlimit set computernum <number>: set the ComputerNumber.
     wanlimit set phoneenable <0|1>: set the PhoneRestrictEnable, 0:disable  1:enable.
     wanlimit set phonenum <number>: set the PhoneNumber.
  >
  

lhnwy

好好学习天天向上

chengliye

膜拜，马上实践。

魔刃太子

同问，同求，我已拜托楼上这位达人，还忘兄台赐教

homey123

幻实/骑士 发表于 2013-4-24 19:45
telnet开启后 是不是 保存在配置文件里了呀？？？LZ能把自己的 配置文件 备份出来发我吗？如果是这样的话就 ...

telnet和ftp的配置不是保存在dumpcfg所打印出来配置文件里的。
dumpcfg打印出来配置包含了登陆用户密码，宽带PPPOE用户密码一类的东西，但不包含TELNET/FTP。
我试过dumpmdm，这个导出的内容更多，其中有一段应该是设置telnet/ftp开启配置的。
> dumpmdm
.....
      <X_CT-COM_ServiceManage>
        <FtpEnable>TRUE</FtpEnable>
        <FtpUserName>e8ftp</FtpUserName>
        <FtpPassword>e8ftp</FtpPassword>
        <FtpPort>21</FtpPort>
        <FtpChanged>TRUE</FtpChanged>
        <TelnetEnable>TRUE</TelnetEnable>
        <TelnetUserName>e8telnet</TelnetUserName>
        <TelnetPassword>e8telnet</TelnetPassword>
        <TelnetPort>23</TelnetPort>
        <ConsoleUserName>admin</ConsoleUserName>
        <ConsolePassword>v2mprt</ConsolePassword>
      </X_CT-COM_ServiceManage>

不确定你是怎样导出的配置，我都是从串口或telnet下面导出的明文信息，没有加密过。
你可以试试访问http://192.168.1.1/ftpandTelnet.html，这个页面可以开启telnet，但是必须是Super User级别的用户才能访问这个页面。

swcnchen

homey123 发表于 2013-4-24 22:17
telnet和ftp的配置不是保存在dumpcfg所打印出来配置文件里的。
dumpcfg打印出来配置包含了登陆用户密码， ...

楼主的“残念”已经解决？望赐教。

homey123

swcnchen 发表于 2013-4-24 23:37
楼主的“残念”已经解决？望赐教。

没有解决。