吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.pjihhd.live

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 30318|回復: 936
上一主題 下一主題

[原創] 中興光貓 ZXHN F450 3.0 漏洞分析與利用以及破解

    [復制鏈接]
跳轉到指定樓層
樓主
JuncoJet 發表于 2019-7-25 16:22 回帖獎勵
本帖最后由 JuncoJet 于 2019-7-26 10:14 編輯

最近家里寬帶升級了200M,于是某信以我的老光貓(烽火某型號)不支持為由,給我換了新的光貓。說實話還是有點不舍得的,畢竟老的光貓是沒有無線的(個人覺得這是個累贅,家里已經裝了UBNTAP覆蓋,而且也會增加光貓的功耗,最關鍵我的老光貓是破解的,出入管理界面自由)。然后就對破解光貓有了新的認識,比如什么是LOID啊,什么是ITMS啊,巴拉巴拉。

ZXHN F450 3.0的光貓,應該是江蘇這里主流的新款光貓吧,我嘗試了網上流傳的所有破解方法,無一能成功的。所以就自己分析可能存在的漏洞,然后嘗試利用并且破解。雖說現在回想以及使用漏洞破解輕而易舉,但當初(3天前)想破乳頭(乳就是小的意思)都找不出解決的辦法,不過整個的破解過程還是需要嘮叨一下的,畢竟這樣才顯得博學(誤,對破解其他光貓會有很大的幫助,因為我用其他的方式,又破解了一臺華為HG8145C 2.0的光貓,對于老光貓的話這些老方法還是很有效的。

1.        光貓到手我就拆了,因為知道破解光貓最終極方法就是TTL大法,于是我找出年代久遠的CH341 土豪金編程器,跳線帽調至TTL模式,杜邦線接到光貓。以我多年PCB Layout經驗,熱焊盤的是GND,粗線的是VCC,另外兩個可能是TX/RX,然后接上。Putty打開串口,打開光貓,出來了期待的文字,一臉果然如此的神情浮現在樓主稚嫩而精致的小臉上(竄線了。然后……然而……等到畫面停止跳動,光貓完全啟動,發現怎么按回車或是ESC都不能彈出登錄界面?難不成線沒接好,再重啟,然后不斷的按ESC,終于我進入了一個叫UBOOT的界面(就是小米手機刷機那個FASTBOOT,哦不對),反正就是用來引導系統啟動,并且提供了一些基礎的功能比如刷機,升級,重置之類的功能。然后我稍微嘗試了一下(其實比較久,可以通過TFTP更新固件,然而手頭沒有合法的固件,貌似需要CRC32之類的校驗合法性,所以刷不進。并且雖然提供了ls命令,但無法進目錄里查看,只能查看根目錄,其他的話基本都是內存讀寫NAND FLASH(閃存)讀寫之類,沒有對文件系統結構具體的地址進行展示,就算是能讀寫NAND但不知道地址,胡亂寫入只會讓光貓變磚,變磚后雖然可以換新貓,但有拆卸過的痕跡怕是到時候需要好好解釋(狡辯)一番的了。此方法就此告罷。



IC上的散熱器膠很牢,用拆焊臺加熱240℃,中等頭,吹個10多秒鐘,然后拆下。




蛤,一波操作后比較亂。
2.        拔光纖,長按reset按鈕重置機器。貌似沒啥效果,只能起到重啟的效果,沒啥P用。
3.        通過網上流傳的,重置光貓地址,切換地區方法來強制清空機器數據,從而破解光貓的原始管理密碼。不過貌似是失敗了,主要原因,該功能已全部設置了密碼保護,只有擁有密碼的管理員才能對機器進行上述的操作。

4.        研究U盤管理功能,是否可能存在權限訪問U盤路徑以外的其他路徑。以/etc為例,使用HTTP調試工具Fiddler進行參數的改寫。列出/etc目錄下的文件,這個操作有點慢,因為這個目錄下文件有點多,我都以為失敗了,結果列出來了一大堆的數據。然后我再嘗試了獲取/etc/password/etc/shadow文件,拷貝到U盤中,結果能成功(這個部分沒啥用,因為我沒法Telnet也沒法TTL登錄進路由器)。再做了一些測試,和網上流傳的說法/userconfig/cfg目錄下是存放光貓配置的,我嘗試把這個目錄下的配置文件拷貝到U盤,然后打開文件,很遺憾xml被加密了。看文件的結構,應該是比較嚴謹的加密,但還是懷著試試看的心態寫了個XOR暴力窮舉程序,試試看會不會不像表面上那么難。但結果比較遺憾,和表面上看上去一樣的強(窮舉程序代碼如下,可以附件中下載)。



列出配置文件,如果你只是要破解光貓,直接刪除掉這些配置文件就行了,如下圖


導出的配置文件

使用XOR暴力窮舉,嘗試破解
5.        久違的無法上網,等我破解了超管權限之后,我竟然無法上網了。猜想可能配置文件丟失,可能重置一遍機器就會好的,所以就徹底重置機器,然后再試。不試不知道,一試嚇一跳,我竟然3天都沒搞定,一直無法上網。用手機百度了無數個帖子,發現貌似有個叫LOID(中文名寬帶識別碼,邏輯ID)的東西。仔細查看發現疑似被重置掉了,網上有說法說可以找某信可以要,于是就打電話給某信,我已經明確的說寬帶識別碼了,但是客服卻不肯給我,非要安排個小哥上門。上門就上門吧,不帶怕的,雖然機器還裸體著……某信小哥上門就給輸了碼,成功的上網。但我是個不信邪的人啊,對于出現的問題刨根問底才能在逆境中成長,我深知這個道理。所以我又把光貓給破解了一次(采用第4種方法),破解后重啟進入光貓,我果然看到了LOID,并自行的保存好以備用。然后我又重置了機器,自信滿滿的輸入了LOID,并且成功的沒法上網。我當時就窩了一個艸,怎么回事?登錄進管理界面發現ITMS注冊不了,這個東西疑似是需要某信在系統上登記的,需要下發。不黑進某信的系統,是沒法進行下發操作啊……這么想著,又一天過去了。我就收了兩個舊貓。如下圖,當是的猜測是這樣的,可能老貓不需要ITMS注冊,網上搜索結果來看,很多老貓用戶ITMS沒有注冊就成功的上網了。于是倒騰起了華為HG8145C光貓來。


注意上圖和下圖LOID區別


6.        一言不合就開蓋,HG8145C的蓋比F450難拆不止一點點,F450可以幾乎無損的拆開,但是8145拆開還是斷了不少的腳的。好在外部沒有什么拆卸痕跡(對于一個外觀DANG,我不忍心看到一點瑕疵),拆開后看到主板上有5個接口,看著像串口。憑借多年PCB Layout經驗,秒區分出了VCC GND TX RX(就是這么流弊,我能說啥),但是接上串口疑似沒啥反應,用新買的鉗形表(只是突出個性,普通萬用表也行),測得電壓只有TX RX 40mV,一般來說TX RX的電壓都在3.2V才是正常的。于是找板子上的布線,發現TX RX少了兩個電阻。測量電阻的前端,電壓得到3.2V,懶得補上電阻(0402的電阻我也沒有啊,還要去買),直接飛線接出。接上我的CH341土豪金,完美的得到tty,久違的登錄界面出現了,但是root的密碼admin卻不對。求助chinadsl上的大佬得到了adminHW這個密碼成功的登錄進去。按照網上的教程備份配置文件之類的命令全被和諧了,shell里面也就少的可憐的兩個命令,其中一個還是exit。唉,只能自己研究,研究發現WAP模式下,可以restore_factory,重啟后成功的通過telecomadmin nE7jA%5m成功的登錄進了管理界面。



留了后門的HG8145C

7.        為全新的HG8145C(重置完了啥也沒有)綁定LOID,輸入后沒過多久,我就注冊上了。系統界面上顯示OLTITMS都注冊通過了。當時我又是一個我了個艸,難道說老光貓容易破解?或者說不需要特定的注冊??然后我又試回了F450光貓,一波操作之后也能夠上網了。這就似乎有點詭異,經過一波研究并且結合百度上大家的說法,猜測可能光貓在某信的系統上只能被綁一次。同一個光貓同一個終端接口(光纖接入)需要某信解綁后才能重新注冊使用,但是換來了光貓之后會自動重新綁定新光貓。所有這就是我用了HG8125C后再F450也能上網,單單使用F450卻怎么重置,怎么注冊都上不了網。如果手頭只有一臺光貓的小伙伴們,你們可能只能找某信小哥上門幫解綁重新注冊牢喲。這個部分我就不截圖牢,上網誰不會,噗。

關于ZXHN F450 3.0的漏洞,應該是權限不明確,WEB SERVER運行在root權限下導致的,同樣的漏洞在華為的機器上卻沒有。因為看過華為的機器,對權限設置的非常的嚴謹,并且在登錄認證上也很復雜,密碼輸入超過次數后都會被鎖定,并且無法修改disable屬性來強制的提交。中興的機器,只能說一般。但是TTL、Telnet等都徹底閹割干凈了,所以很少有可以利用的漏洞,目前作者就發現這個唯一一個可以利用的漏洞。其本上全球首創。對于某信需要修正這個漏洞也是很容易的,直接做個路徑匹配,輕輕松松的就解決了。但個人來說還是(不)希望某信修正的,這樣的話可以多學習一些知識,寫出更流弊的破文(噗


根據作者的親身經歷,研究心得,開發了一鍵化破解工具(詳見附件),如果是F450 3.0江蘇版的用戶你們有福了喲。

或者想學習整個破解過程手動破解的,也可以看我自己錄制的教學視頻,視頻地址:https://pan.baidu.com/s/11eaIchIJYjARr4UC38Zl4A 提取碼:xhm9

xorCrack.rar

85.26 KB, 下載次數: 384, 下載積分: 吾愛幣 -1 CB

F450破解器.rar

2.9 KB, 下載次數: 493, 下載積分: 吾愛幣 -1 CB

點評

破解后,能免費上網嗎?  發表于 2019-7-30 15:20

免費評分

參與人數 292吾愛幣 +273 熱心值 +268 收起 理由
douruil_cn + 1 + 1 熱心回復!
木槿女神 + 1 + 1 我很贊同!
試試去愛你 + 1 + 1 簡單理解就是把路由器限制的問題給擼了!好用。我的那些老貓用得上了
yeminqiang + 1 + 1 [email protected]
soyiC + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
jiuliuge + 1 + 1 我很贊同!
guphijb + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
1ander + 1 + 1 我很贊同!
dafang717 + 1 + 1 熱心回復!
往昔神 + 1 + 1 不明覺厲!!
roylee1991 + 1 用心討論,共獲提升!
zmt520 + 1 + 1 我很贊同!
feiqiulin + 1 我很贊同!
bjrunbo + 1 + 1 [email protected]
小米666 + 1 感謝您的寶貴建議,我們會努力爭取做得更好!
cc1h142341 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
a17418419 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
tsg211530 + 1 + 1 熱心回復!
boy433441 + 1 + 1 我很贊同!
szoe + 1 + 1 [email protected]
wnzczh4987 + 1 + 1 我很贊同!
h31558770 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
春曌 + 1 我很贊同!
楓秋葉下 + 1 + 1 熱心回復!
nanmobei + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
huapeng147 + 1 + 1 用心討論,共獲提升!
xiaoqinglong1 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
江澤妮可 + 1 [email protected]
nohack_pojie + 1 + 1 樓主你用fiddler工具刪除管理員后臺配制文件,在不聯網的情況下用默認密碼.
laodan + 2 + 1 理性探討
q8909742 + 1 + 1 我很贊同!
mmn0218 + 1 + 1 用心討論,共獲提升!
郭嘉的不要搶 + 1 + 1 我很贊同!
3xec3r + 1 + 1 熱心回復!
Pdx666 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
hpp712 + 1 + 1 熱心回復!
skyphoenix99 + 1 + 1 [email protected]
keven_fan + 1 + 1 [email protected]!大神。可以解壓密碼多少啊?
foxdog + 1 + 1 老鄉,頂你菲菲
人1998 + 1 + 1 熱心回復!
Tomatoey + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
ILOVE吾愛破解 + 1 + 1 [email protected]
—程哥 + 1 [email protected]
shyocean + 1 第一次看到如此牛逼如此高端技術分享。留著備用
汽配軟件 + 1 + 1 用心討論,共獲提升!
dancao + 1 + 1 [email protected]
vizardtdst + 1 + 1 用心討論,共獲提升!
china-mr-z-x + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
dfsaddss + 1 + 1 用心討論,共獲提升!
ScareCrowL + 2 + 1 我很贊同!
宸先生 + 1 + 1 熱心回復!
opi163 + 1 熱心回復!
泰陽的妍色 + 1 + 1 6666666666666
turan + 1 + 1 熱心回復!
chillyme + 1 + 1 用心討論,共獲提升!
nshark + 1 + 1 [email protected]
ty94516 + 1 蘇州電信找10000號要超級帳號密碼
psclear + 1 + 1 用心討論,共獲提升!
陳世界 + 1 + 1 我很贊同!
jay88998899 + 1 + 1 [email protected]
pipi5123083 + 1 + 1 熱心回復!
209566436 + 1 + 1 [email protected]
k4jar + 1 + 1 我很贊同!
孤獨患者” + 1 熱心回復!
Lugia + 1 + 1 [email protected]
zuohaoda + 1 + 1 其實我就是看故事的
thinkzc + 1 + 1 熱心回復!
zycode + 1 + 1 [email protected]
Jaanzzz + 1 [email protected]
六道仙人 + 1 + 1 我竟然耐著性子讀完了.而且我啥也不懂
shinehxs + 1 + 1 我很贊同!
si012345 + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
liphily + 1 200熱心,經驗160。精華+80經驗,好羨慕啊
yaoyao7 + 1 + 1 我很贊同!
jnez112358 + 1 + 1 [email protected]
xuanle6 + 1 + 1 [email protected]
yaojianhao + 1 + 1 [email protected]
sunline + 1 + 1 [email protected]
VanYun + 1 熱心回復!
plasd + 1 + 1 用心討論,共獲提升!
harrylyx + 1 我很贊同!
lz2018 + 1 用心討論,共獲提升!
momomo777 + 1 我很贊同!
cz5477 + 1 + 1 我很贊同!
y20106998 + 1 + 1 我很贊同!
dibin + 1 熱心回復!
gavin913 + 1 + 1 用心討論,共獲提升!
frey.z + 1 + 1 我很贊同!
Minesa + 1 + 1 [email protected]
Sev7en + 1 + 1 用心討論,共獲提升!
drw168 + 1 + 1 [email protected]
跳躍的靈魂 + 1 + 1 你他娘的真是個人才
hellchard + 1 + 1 用心討論,共獲提升!
zx5155 + 1 我很贊同!
w19890614 + 1 + 1 能科普下破解后有什么好處嗎?
zzombie + 1 + 1 [email protected]
qq891002088 + 1 + 1 用心討論,共獲提升!
snccwt + 1 + 1 熱心回復!
bigkat + 1 + 1 能動手焊板子的真的是高手
159921 + 1 我很贊同!

查看全部評分

本帖被以下淘專輯推薦:

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
smile1110 發表于 2019-7-26 17:15
本帖最后由 smile1110 于 2019-7-26 17:31 編輯

拆了光貓看了一下主板上面的固件還原重置點位 , 最后還是用的符合中興2 3 4代光貓,通用超級密碼,為嘛不直接用中興沒有屏蔽的telnet 連接,偽造地址并打開后,然后用光貓下面低權限的賬號密碼連入,讀配置文件,像telecomadmin nE7jA%5m這種通用的root賬號,一般區域 電信和聯通運營商并不會從配置中刪除這塊,直接讀root賬號即可.結饒了這麼大一個圈,就用了別人提供的root賬號和密碼.,我精通ccs,計算機電氣化的全部分支.只是不認為嵌入式跟5G通訊以及電氣自動化等其它的硬件逆向是ctf方面的的未來,因為在兩年之前的國外大佬的普遍探索,因為大氣層計劃人才輩出,導致跳過了play station 為代表的嵌入式這塊,現在的cracker的逆向工程因為六七八代cpu沒有本質換代問題,當然極客也是想要屏蔽14nm+++++工藝的引腳來用舊主板,,焦點普遍在cpu的漏洞和物聯網漏洞這塊,你以為我在說廢話,實質上,兩年前直接cracker絕大部分精銳已經跳過了計算機電氣化這個過程,這跟計算機科學的基礎電子無關,嵌入式的研究在國內大的論壇也有,恩山,迅維,chiphell.而這篇文章的程度在這些地方舊能體現說程度多低.只是ccs并非re的未來.另外spdif那篇文章spdif 本身就是高清音頻光纖線,起了一個無比猖獗的題目,這篇文章饒了這麼大一個圈,就用了別人提供的root賬號和密碼.毫不夸張的概論剽竊加吹噓,是欺我吾愛無人?兩篇文章程度之低,令我輩汗顏,拉黑不解釋.這篇文章還遠不到ccs的門檻,長篇累牘,廢話連篇.以這兩篇文章的標題,怕不是以為要推進re到上面這兩年聚焦的最前沿的領域,既然空洞無物,有名無實.
那么寫這篇文章的意義何在呢?為了維護吾愛的公正性我才開噴,并對上面這番話負責

點評

抱歉,我沒有時間給蠢貨回貼.  詳情 回復 發表于 2019-7-27 04:59
精通CCS?電氣工程?很厲害嗎??我不僅精通CSS、PHP、C、C++、C#、Java、Ruby、python、Objective-C、Pascal、spss、sas等單詞的拼寫,還熟悉Windows、Linux、Mac、Android、IOS等系統的開關機,和我比弱爆了  發表于 2019-7-26 23:18
你是沒看懂還是來裝X,root密碼的是華為hg8145,我原創的是中興f450破解。不喜歡你可以不看,很顯然你也沒看,那你當我沒說……  發表于 2019-7-26 22:36

免費評分

參與人數 7吾愛幣 +6 熱心值 +5 收起 理由
liehai + 1 + 1 感覺這一頓操作猛如虎。。。現在大部分光貓都默認的超管密碼
sqlqr + 1 不明覺厲
woditian + 1 + 1 硬核破解,大佬流弊
pdsjjm + 1 我很贊同!
recusant + 1 + 1 一針見血
leroy特洛伊 + 1 日常關注51第一大牛“噴”,不過文章意義不大,加精不妥
涼米飯 + 1 + 1 用心討論,共獲提升!

查看全部評分

推薦
老臉通紅 發表于 2019-7-27 10:37
首先樓主是用的依舊是EPON而不是現在的GPON,EPON的帶寬速率要低于GPON的。
因為已經是200M寬帶,那么就需要設備有千兆網口,老光貓不支持很正常,否則你200M的帶寬能使用的速率依舊是100M的上限。
其次樓主家是FTTH接入,從二級分光出來的,1臺分光器搭載8個用戶,你和其他7名用戶的邏輯ID都是相同并恒定的。這是因為電信在當初二級分光器掛測的時候就鎖死了,你的邏輯ID就是OLT下掛的PON口(至少電信一定是這個),例如PON口為1-5-3,那么你和其他同一分光器的7名用戶的邏輯ID就一定是0503,改了就不能上網了。所以其實有了超管密碼,能動的只有改橋接或者路由模式,其他數據改了都會上不了網,你改的我們稱為ONU數據,一旦ONU數據變化就會造成ONU到ODN再到上聯OLT的數據不一致,然后上不了網。
要獲取你的邏輯ID你只用和負責你家寬帶的裝維師傅聯系,他們都有這信息的,不過在我看來,超管密碼的實際意義并不大。

免費評分

參與人數 7吾愛幣 +10 熱心值 +7 收起 理由
335505 + 1 + 1 說的完全正確。破解只是為了路由模式改橋接模式。而且超密在寬帶小哥那里是.
sqlqr + 1 電信員工發來賀電,其實破解光貓沒有任何意義!
huzpsb + 3 + 1 我很贊同!
漫步時光 + 1 + 1 熱心回復!
xuanle6 + 1 + 1 [email protected]
shinsbo + 1 + 1 原來如此
JuncoJet + 3 + 1 科普帖

查看全部評分

推薦
百葉兒 發表于 2019-7-26 18:45
寫的很好 那些itms  ,loid  ,感覺破解沒啥用啊 ,我就是電信的 ,哪里的保密 ,光貓超級管理員密碼 我們這只要恢復出廠一次就會被重置,而且我有查看管理密碼的權限,loid 權限,上網寬帶改密碼的權限我也有,現在的老貓和新貓后臺上網的數據是不一樣的,如果用老貓直接換新貓 很多時候是上不去網的,新貓換老貓倒是可以上網
推薦
 樓主| JuncoJet 發表于 2019-7-25 17:02 <
吳壯壯 發表于 2019-7-25 16:57
電信的路過,換光貓有時需要PON注冊,或ITSM解綁的

我這里兩臺互換著綁可以,但同一臺機器沒法綁兩次
推薦
寒心淚 發表于 2019-9-8 11:32
首先 感謝樓主的無私。做出的軟件 方便了我們大家。
這邊需要說幾點。這個網關會出現的幾個問題,用了破解的軟件之后。我不知道你們的。不過我的VLANID 丟了。
丟了也不需要去尋找裝維。第一個你可以看智寬生活里面 網關是不是在線。因為我已經不能上網,接著電話或者QQ找電信客服。讓他們重發數據即可 然后就找回來了。VLANID   大家都可以試試。ITMS是未注冊的。不過后面可以一直登陸管理員賬號了

免費評分

參與人數 1吾愛幣 +1 熱心值 +1 收起 理由
JuncoJet + 1 + 1 VLANID我shi在華為的那個光貓上通過TLL得到的。LOID的話破解后不會清空。

查看全部評分

推薦
lao_jin 發表于 2019-7-25 16:42
硬核大佬只可觀摩手殘黨退了,感謝分享方法。
推薦
pjyhm 發表于 2019-7-30 21:35
感謝大佬,也是剛換的F450,用一鍵工具有沒有變磚的危險?
推薦
藍楓冰笛 發表于 2019-8-11 09:44
完全的不懂。。
10#
ziye子夜子夜 發表于 2019-7-25 16:45
第一  樓主牛逼 ,雖然我刷廢了沒得刷的
11#
懵智呀 發表于 2019-7-25 16:48
期待安徽地區大佬強勢登場
12#
h0314 發表于 2019-7-25 16:48
看完了,謝謝分享
13#
z532931406 發表于 2019-7-25 16:49
直接用超級管理員密碼破解可以嗎,用TTL刷的話,要備份配置吧,不然很容易出問題
14#
ivanlong 發表于 2019-7-25 16:56
樓主厲害,寫得詳細,只是我看不明白 。
15#
吳壯壯 發表于 2019-7-25 16:57
電信的路過,換光貓有時需要PON注冊,或ITSM解綁的
16#
 樓主| JuncoJet 發表于 2019-7-25 16:57 <
z532931406 發表于 2019-7-25 16:49
直接用超級管理員密碼破解可以嗎,用TTL刷的話,要備份配置吧,不然很容易出問題

如果是F450的話,我發的一鍵化工具就可以破解了
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:禁止回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2019-10-14 09:14

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
七乐彩50期走势图