中兴光猫配置文件db_user_cfg.xml结构分析及解密

yulinsoft

       中兴光猫配置文件db_user_cfg.xml保存着光猫的各项配置，包括超级帐号和密码，它一般位于光猫/userconfig/cfg目录下，前文“中兴光猫ZXHN-F650不拆机获取超级密码”，我们通过光猫文件操作的漏洞获取了配置文件，并通过RouterPassView获取了超级密码，后来就想着分析一下这个文件的结构和算法，自己来写一个解密程序。由于这个文件没有公开的文档可用，所在只能用winhex打开，边看边猜，这也是常规的解密方法，终于功夫不负有心人，经过几天的猜解，终于摸清了文件的结构，写出了解密程序，今天特来跟大家分享了下。

(, 下载次数: 6)

上传

点击文件名下载附件

我们先来说文件结构。文件结构分为文件头和数据体两部分，数据体是分块保存的。结构如下图：

(, 下载次数: 4)

上传

点击文件名下载附件

首先看文件头，它由60个字节组成，包含文件的大小、解压后大小、数据分块大小和数据校验值等，通过对比F650和F452两个光猫的配置文件，除校验值算法未知，这个结构基本如下：

(, 下载次数: 4)

上传

点击文件名下载附件

最新更新：校验值算法已经搞清，校验值共8个字节，前四个字节是对每个zlib数据块进行crc32校验，初始为0，后一块以前一块的校验值为初始值，全部校验完成后写入校验值的前四个字节。然后对文件头前24个字节进行crc32校验，初始值为0，得出的结果保存到校验值的后4个字节。到此这个文件的结构和算法全部搞清楚了，大家可以搞个写回操作了。

(, 下载次数: 5)

上传

点击文件名下载附件

需要说明的是，这个文件的数值保存都是采用 Big endian格式保存的，所以编程时要进行字节序的转换才行。我编程用的是delphi，转换字节序的函数如下：

[Delphi] 纯文本查看 复制代码

?

1 2 3 4

function Swap32(const Value: LongWord): LongWord; begin   Result := Swap(Word(Value)) shl 16 + Swap(Word(Value shr 16)); end;

下面我们来看看最重要的数据块结构，它是有一个简单的数据头和zlib数据块组成，数据头中包含了数据解压后的大小，压缩块的大小和下个数据块的位置，所以我们只要找到第一个数据块的位置，就可以循环找到下一个，直到最后一个，根据数据块提供的信息进行解压合并就行了。数据块的结构如下：
(, 下载次数: 4)

上传

点击文件名下载附件

通过图片的分析，相信大家都能写出解密程序，我先贴出我的解密算法，代码可能比较烂，但确实能用，大家不要喷便是：

[Delphi] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55

function UnZipCofing(Fname: string): string; var   ds: TDecompressionStream;   ms, fs, tmpfs: TMemoryStream;   ss: TStringStream;   bufferSize, blockSize, nextOff: LongWord; begin   fs := TMemoryStream.Create;   tmpfs := TMemoryStream.Create;   ms := TMemoryStream.Create;   ss := TStringStream.Create('');   if not FileExists(Fname) then   begin     ShowMessage('文件不存在！');     exit;   end;   try     fs.LoadFromFile(Fname);     nextOff := 60;     while nextOff > 0 do     begin       fs.Seek(nextOff, soFromBeginning);   //读取缓冲区大小       fs.Read(bufferSize, SizeOf(bufferSize));       bufferSize := Swap32(bufferSize);   //读取压缩块大小       fs.Read(blockSize, SizeOf(blockSize));       blockSize := Swap32(blockSize);   //读取下一块位置       fs.Read(nextOff, SizeOf(nextOff));       nextOff := Swap32(nextOff);       //复制压缩数据块到临时数据流       tmpfs.Clear;       tmpfs.CopyFrom(fs, blockSize);       tmpfs.Position := 0;       //解压数据块       ds := TDecompressionStream.Create(tmpfs);       ms.SetSize(bufferSize);       ZeroMemory(ms.Memory, bufferSize);       ms.Position := 0;       ds.Read(ms.Memory^, bufferSize);       //将解压后的数据流复制到字符串数据流       ss.CopyFrom(ms, 0);       ds.Free;     end;{end while}     //输出合并后的字符串流。     Result := ss.DataString;   finally     //垃圾回收     fs.Free;     tmpfs.Free;     ms.Free;     ss.Free;   end; end;

写文不易，分析和制图都花费了不少时间，写代码更是耗时，因为毕竟不是专业程序员。所以写得不好大家不要喷，有不对之处请大家批评指正，写的程序如下，程序源码和编译后的程序及db_user_cfg.xml我会在附件中提供：
(, 下载次数: 3)

上传

点击文件名下载附件

我写的一个小工具中兴光猫超密获取工具也是用的这个算法。本文吾爱破解首发，转载请注明出处，程序编译再发布请保留作者信息。

(, 下载次数: 5847)

上传

点击文件名下载附件

yulinsoft

A_Nuo 发表于 2019-8-11 17:02
这个年代怎么还有人用delphi？楼主为什么不使用更先进的语言？

语言只是工具，只要脑子里有算法，用什么语言只是语法和类库的不同。

Delta_18

zisain 发表于 2020-11-27 15:05
大神后期会更新解密工具吗???

[软件副本已停止下载]

Delta_18

iwy0 发表于 2021-2-11 01:42
天邑768G的CFG文档可以用ROUTERPASSVIEW直接读取出来，但是这个ROUTERPASSVIEW只有WIN和MAC版，没有安卓版 ...

如果有这样的需求，倒不如自己买个好点的光猫换上。

A_Nuo

这个年代怎么还有人用delphi？楼主为什么不使用更先进的语言？

ishine

yulinsoft 发表于 2019-8-10 12:21
不是同一文件，在我的设备上，这个文件是明文的。配置文件压缩后至少30k左右。

F450 3.0 的配置   db_user_cfg.xml和db_default_cfg.xml加密方式一样

都解不开

雷帝彬

ssnode 发表于 2020-2-23 18:17
解压密码:52pojie   解密不了 求帮助谢谢
设备类型GPON天翼网关(4口单频)
产品型号ZXHN F650(GPON ONU) ...

这个版本 配置文件你怎么拿到的？

caoxin

yulinsoft 发表于 2019-8-11 17:19
语言只是工具，只要脑子里有算法，用什么语言只是语法和类库的不同。

pj是一门技术，也是艺术

jxf269

一只大菜猫 发表于 2019-8-10 11:43
iptv弄不成无线的，第一不稳定，第二协议也不支持，电信的试过了，不行的

可以弄的，ssid端口绑定2.4G-2,然后无线设置那里ssid选择2.4G-2,勾选下面的使能框，然后盒子那边就可以发现IPTV的WIFI信号了，然后输入WIFI密码，IP地址那边选择dhcp下面选择md5+3ds认证（不知道有没有写错，我忘了），然后再输入你家IPTV的帐号密码。连上就可以用了。
以前我家的光猫不带wifi，我把itv的网线直接插路由器的lan口，光猫的1号口插路由器的的WLAN口，路由器根本就不用配置，直接就可以正常上网和看IPTV。电脑想看IPTV得手动配置IP，电脑上我不会搞那个md5+3ds的东西，所以在IPTV盒子里做了转发，最主要还是穷，没路由器是低端的。

山上石

这个光猫有没有办法让有线电视变无线的？联通赠送的IPTV，竟然是要连网线的。。。但是不是宽带的网络，是IPTV的线路。难道没有无线的方案吗？

yulinsoft

山上石 发表于 2019-8-10 11:12
这个光猫有没有办法让有线电视变无线的？联通赠送的IPTV，竟然是要连网线的。。。但是不是宽带的网络，是IP ...

可以把光猫的wifi绑定到IPTV线路，然后盒子用wifi连接就行了，仅限于IPtv是DHCP协议的。你可以试试。

山上石

yulinsoft 发表于 2019-8-10 11:16
可以把光猫的wifi绑定到IPTV线路，然后盒子用wifi连接就行了，仅限于IPtv是DHCP协议的。你可以试试。

我也是这个想法。不知道解密超级密码后，能不能开启这个功能。

一只大菜猫

iptv弄不成无线的，第一不稳定，第二协议也不支持，电信的试过了，不行的

ishine

F450 3.0 的配置文件还是解不开

db_default_cfg.zip (7.38 KB, 下载次数: 97)

2019-8-10 12:10 上传

点击文件名下载附件

yulinsoft

ishine 发表于 2019-8-10 12:07
F450 3.0 的配置文件还是解不开

不是同一文件，在我的设备上，这个文件是明文的。配置文件压缩后至少30k左右。

plmxs2017

哪位大佬给演示一下电信的HS8145C的光猫提取管理员啊？

cfanpc

一只大菜猫 发表于 2019-8-10 11:43
iptv弄不成无线的，第一不稳定，第二协议也不支持，电信的试过了，不行的

电信的可以，但是盒子和WIFI距离不要太远了，不然会卡顿