天翼网关3.0(中兴F650 4.0)光猫破解方法(无需拆机)

2021-11-6更新:

重磅解决方案:

发布中兴光猫全系开telnet工具破解版,无需lisence,无需绑定电脑,可开中兴所有光猫的telnet,有需求可直接下载使用:https://www.95its.com/modem/28.html

2021-3-21更新:

有外省小伙伴说重置无效,不会恢复默认密码,为此我又仔细分析了一下光猫的固件,发现在/etc/restore_cfg.json文件里配置了每个省的RESET策略,比如有的省RESET时就会清除LOID和默认配置,有的省只清除配置,不清除LOID,只有满足不清除LOID且清除配置的省份才能使用此方法。满足条件的省份只有重庆和浙江。其他省份我再研究研究,日后有新方法会继续更新。

===============以下原正文============

最近小伙伴家里新装了一条电信宽带,目前浙江电信新装的宽带给的光纤猫已经是最新款的中兴F650了,硬件版本4.0,软件版本V3.0.0P1T1,如下图:

经过一些资料查找,普遍显示这个光纤猫是21年新出的款,目前网上还没找到现成的破解资源,之前切换地区的版本入口也已经被删,移动存储U盘越权读文件的漏洞也已经被修复,而且TTL console也被关闭了,当进入系统时就没有输出了。虽然万能的淘宝已经有远程破解了,无奈卖家要收100元,要知道这个光猫本身才120啊。本着探究精神研究了一下,发现了不少有意思的东西,为了造福大家,我把破解方法先放出来,供大家参考。

第一步:拔掉光纤(因为当ONU设备注册上网络的时候,电信远端会通过tr069协议管理每个端设备,如果不拔掉一旦连上网超管密码就会被修改),按RESET(最新的4.0版本光猫重置不会丢失拨号,LOID、VOIP和TV的配置,不用担心,只是会把默认telecomadmin的密码恢复为出厂值而已),当看到所有灯亮起即表示重置成功。这时候telecomadmin的密码就会被恢复成默认密码nE7jA%5m。

备注:网上已经有很多人用这种方法进去改桥接以及修改配置了,但是主要麻烦的点是每次插上光纤注册网络之后,密码就会被改掉,下次还想去改其他配置又得重新RESET,有点麻烦,所以本文接下来给出的就是怎样持久化获得telecomadmin的权限,有需求的继续看即可。

第二步:找一个U盘(最好格成NTFS文件系统,其他的比如exFAT会识别不出来),插在光猫边上的USB口上,然后用默认的telecomadmin密码登录后台,点击管理->设备管理,如下图,这里有一个备份配置文件到U盘的功能,如果U盘正常识别的话在USB分区选择里面会出现/USB_disc1这种选项,如果是空的说明U盘没识别出来,这一步我们点击“备份配置”,就会在U盘根目录下生成一个e8_Config_Backup文件夹,里面会有一个cfg文件。不过是加密的。如下图。

第三步:解密/修改配置文件打开telnet,这一步是关键,因为这一代的加密和之前的光猫都不同,目前网上还无法找到这一款光猫的配置文件加解密工具,需要自己进行修改,不过我在github上找到一个项目zte-config-utility,虽然并不能解密我这一款光猫的配置文件,但是大部分代码都还可以复用,经过对光猫固件的逆向工程,发现只需要修改小部分即可,为了防止奸商窃取代码拿去淘宝卖,具体细节我这里先不放出代码,如果有需要的我可以友情支持一下,解密之后在配置文件里找到下面这一段:

这里就是telnet的默认配置了,我们直接把Lan_Enable改成1,InitSecLvl改成3,然后保存,重新加密之后,放回U盘根目录里的e8_Config_Backup文件夹(注意不要改原来cfg的文件名,保持和之前备份的文件名完全一致)

第四步:恢复配置文件,插上U盘,在后台找到刚才备份的地方,在快速回复后面的勾打上,然后点页面最底下的重启按钮即可。

重启完成之后,光猫的telnet就被永久打开了,然后我们插上光纤,正常注册网络,这时候telecomadmin的密码就会被电信修改为新密码。

第五步:获取电信修改后的新密码,以方便以后登录后台操作。因为之前我们开了telnet,所以这时候可以直接telnet上去就操作。但是问题是,以前telnet上去通过常规方法是发送命令sendcmd 1 DB p DevAuthInfo来获取登录密码,但是这种方法早就不行了,获取到的内容里面用户名密码全是”*******”。这之后应该这样操作,插上U盘之后执行命令cp /userconfig/cfg/db_user_cfg.xml /mnt/USB_disc1/,然后通过和第三步同样的方法解密db_user_cfg.xml之后,就可以获得电信修改过之后的telecomadmin密码,方便以后登录,如下图:

到此,这款光猫就被完全破解了。


后记

后来我在网上发现了一个文章http://www.chinadsl.net/thread-167247-1-1.html,大概意思就是就是中兴原厂有一个使能telnet的工具叫做factorymode.exe,就是可以临时开启telnet,只要是中兴的光猫都可以开启,很多人说淘宝的远程破解都是利用这个工具做的,网上找了一圈很难下到,问了很多人要么就是要卖我2000元,要么就是不给。对此我对固件再做了一些逆向工程,发现中兴真的留了这样一个相当于后门的东西,经过仔细逆向协议之后,终于用python自己写了一个程序实现了类似的功能:

执行之后就会返回:FactoryModeAuth.gch?user=Jpm5OUE2&pass=5F9eJtrA,这里telnet就会打开并且把用户名/密码设成随机值返回回来。

不过这个就不太好用,只要重启光猫telnet就又要重新开,还是前面我这种直接改配置文件的方法比较持久一点,由于这个方法影响中兴全系列光猫,暂时不打算放出细节。奸商就不要找我了,对于普通用户来说,前面公布的方法已经足够使用。


© 版权声明
THE END
喜欢就支持以下吧
点赞 30 分享

请登录后发表评论