×

友华系光猫破解超级密码

yu yu 发表于2022-12-15 00:35:47 浏览7990 评论0

抢沙发发表评论

此方法适用于友华系光猫PT926G、PT926E等。电脑要连接光猫或在同一局域网内。


1.浏览器访问页面


http://192.168.1.1:8080/cgi-bin/abcdidfope94e0934jiewru8ew414.cgi 


开启telnet,页面显示success


2.电脑开启telnet,若已经开启,此步骤略过。在电脑控制面板中点击程序,再点击程序和功能,再点击启用或关闭windows功能,找到Telnet客户端,勾选并确认。


3.win+R键,打开运行窗口,输入cmd,依次在命令行中输入:


telnet 192.168.1.1


Login:admin


Password:TeleCom_1234    (注:输入密码不显示字符,盲敲。)


$su


Password: TeleCom_设备标识后6位小写


(注:设备标识贴在路由器背后,例如此密码为TeleCom_25937e)

#cd /var/config


#cat lastgood.xml|grep SUSER_PASSWORD


最后会显示<Value Name="SUSER_PASSWORD" Value="telecomadmin一串数字"/>,这就得到了超级密码。


作者:豆皮up https://www.bilibili.com/read/cv15186687 出处:bilibili




---------------




友华 PT926G 光猫进阶破解操作

本文介绍如何在不拆光猫、不使用串口转换器的情况下,破解友华 PT926G 光猫的以下权限:

  • 管理面板的超级管理员用户(telecomadmin)

  • Telnet 的 root 用户

  • 访问 FTP

坐标深圳电信。

登录超级管理员界面

如果你直接访问光猫的 IP(http://192.168.1.1),你会看到以下的智能网关登录界面:

友华 PT926G 智能网关登录界面

在这个界面你可以用 useradmin 账户和光猫背后标记的密码登录,但进去之后没什么功能,只有一个 Wi-Fi 的设置是有用的。

但 nmap 扫描显示事情并不简单:

$ nmap -v 192.168.1.1# 省略一些输出PORT      STATE    SERVICE
21/tcp    filtered ftp
22/tcp    filtered ssh
23/tcp    filtered telnet
53/tcp    filtered domain
80/tcp    open     http
445/tcp   open     microsoft-ds
8080/tcp  open     http-proxy
10001/tcp open     scp-config
32768/tcp open     filenet-tms

有一个 8080 端口,我们访问一下(http://192.168.1.1:8080):

友华 PT926G 8080 端口界面

嗯,熟悉的味道,用电信的万年默认密码试一下(telecomadmin / nE7jA%5m):

友华 PT926G 8080 端口登录后界面

居然就进去了,深圳电信不改默认密码。

如果你所在的地区电信改了这个默认密码,你有几个选项:

  • 记录光猫的 LOID 等信息后拔掉光纤,恢复出厂设置,使用默认密码登录关掉配置下发后再输入 LOID 等联网;

  • 拆光猫并使用串口转换器。

以上操作需要你自行查找资料,本文不涉及。

开启 Telnet

根据宽带技术网 tm5880891 的这篇帖子,按照如下步骤操作即可:

  1. 首先在 http://192.168.1.1:8080 以 telecomadmin 登录;

    • 这一步可能不是必须的,就算你不知道 telecomadmin 密码也可以试一下下一步。

  2. 访问 http://192.168.1.1:8080/cgi-bin/abcdidfope94e0934jiewru8ew414.cgi,页面应该会显示 success

  3. 然后你就可以 telnet 192.168.1.1 连接了。

    • 用户名是 admin

    • 密码是 TeleCom_1234

但这个 Telnet 连接后进入的是一个魔改的 Shell,只能执行非常有限的白名单内的命令:

  • ip

  • ifconfig

  • route

  • ping

    • 你可以用这些命令来调试网络。

  • su

    • 很重要的命令,但目前我们还不知道密码。

其它指令都不能用。但我发现这个 Shell 的 Tab 自动补全还能用,可以用它来列出文件目录。例如:

# 输入 /,Telnet 命令行上显示如下内容$/# 按两下 Tab 键.lstripped  etc/        lib/        overlay/    sys/        usr/
bin/        home/       mnt/        proc/       tmp/        var/
dev/        image/      opt/        sbin/       userfs/# 列出了根目录的文件列表,以此类推可以列出其它文件夹的内容

一番查找后我发现 http://192.168.1.1:8080 这个页面存放在 /home/httpd/web/,并在其中发现了许多奇怪的页面。

导出配置文件

目前互联网上的教程大都涉及连接光猫自带的 FTP 服务器,从中下载文件,但我这只光猫系统已经更新,21 端口已经不通了(如先前 nmap 所示)。

但之前发现的一个奇怪的页面可以直接导出配置文件:

  1. 首先在 http://192.168.1.1:8080 以 telecomadmin 登录;

    • 这里这一步是必须的,也就是你必须先知道 telecomadmin 的密码。

  2. 然后访问 http://192.168.1.1:8080/bd/saveconf.asp,点击 Backup 按钮;

  3. 你会获得一个 XML 文件,这就是光猫的配置文件。

获得 Telnet 管理员密码

打开配置 XML 文件,搜索 MIB_TELNET_CLI_PASSWD,找到对应的 value,类似 TeleCom_1a2b3c,这就是管理员密码。

在 Telnet 输入 su,然后这个密码,Shell 前面的提示就由 $ 变成了 #。此时你已经是 root 了,开始为所欲为吧!

访问光猫自带 FTP

由于之前通过 FTP 获取配置文件这个破解方法的存在,新版光猫固件屏蔽了 FTP 的 21 端口。但是 FTP 服务本身还在运行,并且光猫的屏蔽做的不好,只屏蔽了 IPv4 的连接,没有屏蔽 IPv6 的连接。

这就意味着你可以连接光猫 IPv6 地址的 FTP 端口,例如我们先拿 nmap 扫一下:

# 从 http://192.168.1.1:8080 查看光猫 IPv6 地址# 注意这里不需要 telecomadmin,useradmin 也可以$ nmap -v -6 240e:xxxx:xxxx::xxxx# 这里替换成光猫的 IPv6 地址# 省略一些输出PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   filtered ssh
23/tcp   open     telnet
53/tcp   filtered domain
80/tcp   open     http
445/tcp  open     microsoft-ds
8080/tcp open     http-proxy

然后拿起 FTP 工具连上去就可以了,用户名是 useradmin,密码在你的光猫背后:

友华 PT926G FTP 连接成功

这里我用的是光猫的 Link-local 地址(fe80::1%wlp3s0),其中 wlp3s0 是我 Linux 系统的网卡界面名称。Windows 下可能没有这种操作,此时用光猫的公网 IPv6 地址即可。

但即使你连上了 FTP 也无法使用旧版的破解方法,这个 FTP 的访问范围已经被限制在了 /mnt 文件夹,无法访问 /var/config 里的配置文件。

参考资料

感谢前人付出的努力。


作者:https://lantian.pub/article/random-notes/youhua-pt926g-fiber-modem-crack.lantian/



群贤毕至

访客