本帖最后由 letum 于 2024-11-28 10:33 编辑
家里的电信宽带是500M的,实测下行速度能达到625Mbps。这个月套餐到期了,去营业厅问了问,换新版套餐宽带是1000M,于是就升级了1000M。
营业厅没提设备的事,当时也没在意,回到家把光猫重启了一下,实测下行速度只有800多M,这才意识到我的光猫网口是千兆的!虽然我的路由器全都是2.5G的万兆口,但光猫的网口是千兆的!!!
打营业厅电话总是没人接,算了,去海鲜市场淘个万兆猫吧,营业厅估计得让升级成FTTR设备的,也许得加钱吧,现在运营商在推广他们的FTTR,不知道还有没有FTTH光猫。
FTTB:光纤到楼宇,然后从楼宇变成电口的网线进各个用户。B应该是building的字头,我猜。
FTTH:光纤到住宅,然后入户之后光猫变成电口,进各个房间。H应该是House的字头,我猜。(我猜错了,有回帖提示是Home)
FTTR:光纤到房间,家里弱电箱一个主光猫,客厅、卧室、餐厅、阁楼什么的可以设置1-2个从光猫,家里各房间之间也都是光纤连接。
营业厅在推广FTTR,但我不需要,家里装修时布了很多中间带十字塑料骨架的粗粗的六类网线,网线用料十足,8根芯都是很粗的无氧铜,跑万兆没任何问题。所以我家里不需要主从多光猫,只需要一个光猫也就是FTTH模式就行,而且我常年桥接不需要光猫带wifi。
爬了会儿网,找到一款新出的光猫,诺基亚贝尔的XG-040G,CPU是联发科旗下的达发AN7581DT(四核A53,8核NPU),内存是DDR4-3200 512M,交换芯片是联发科的EN8811,硬件很牛,2024年新推出的,关键是光猫小巧玲珑,功耗很低(无wifi嘛),电源是12V1A的。这个年代去哪里找极限电流就1A的光猫啊!电信版本的型号是XG-040G-TF,相对于联通版本阉割了电源按钮和USB接口。海鲜市场二手的50元,全新的80元,比起动辄150靠上的FTTR子母猫们便宜多了。
因为比较新款,所以有些省份没有入库,卖家说很可能只能手工建立连接,或者修改sn成旧光猫的,手工就手工吧,花80元买了个全新的。
拿到手后没有想象中的那么小,但也不大,生产日期是2024年9月份,确实比较新款。
既然说是全新的,那么直接用电信超密登录一下吧,失败了,不是说全新的吗,为啥默认密码不行呢!
用曲别针捅住复位按钮几秒,所有指示灯一起闪几下,复位之后用电信的telecomadmin账户和默认超密nE7jA%5m登录成功。
访问http://192.168.1.1/dumpdatamodel.cgi,得到日志,复制粘贴到记事本里,搜索SuPassword,得到密码的密文,一个24个字符长度的AES加密后的字符串。
爬了会儿网,知道了诺基亚家爱用的密钥是:3D A3 73 D7 DC 82 2E 2A 47 0D EC 37 89 6E 80 D7 2C 49 B3 16 29 DD C9 97 35 4B 84 03 91 77 9E A4
原始向量是:D0 E6 DC CD A7 4A 00 DF 76 0F C0 85 11 CB 05 EA
那么来解密吧,python需要有加密解密专用的一个库pycryptodome,这是一个功能强大的密码学工具,提供了各种加密、解密、哈希和认证算法。
pip install pycryptodome
安装了加密解密库之后,照葫芦画瓢地写一小段代码:
[Python] 纯文本查看 复制代码 import base64
class RouterCrypto:
def __init__(self):
from Crypto.Cipher import AES
# key and IV for AES
key = '3D A3 73 D7 DC 82 2E 2A 47 0D EC 37 89 6E 80 D7 2C 49 B3 16 29 DD C9 97 35 4B 84 03 91 77 9E A4'
iv = 'D0 E6 DC CD A7 4A 00 DF 76 0F C0 85 11 CB 05 EA'
self.cipher = AES.new(bytes(bytearray.fromhex(key)), AES.MODE_CBC, bytes(bytearray.fromhex(iv)))
def decrypt(self, data):
output = self.cipher.decrypt(data)
return output[:-ord(output[-1:])]
encrypted = "这里是要解密的密文"
print(RouterCrypto().decrypt(base64.b64decode(encrypted)).decode('UTF-8'))
然后SuPassword的明文就被解密出来了,我的光猫是一个12字符的字符串。
访问http://192.168.1.1:8080/system.cgi?telnet可以在web界面点击启用按钮开启telnet服务。
然后用光猫背面贴纸上的useradmin账号和密码在telnet里登录
然后用su命令提权到root权限,密码就是刚才解密出的su密码。
用ls命令看看都有什么文件,结果没有ls命令,shell是残缺的,很多命令都没有,需要补全shell。
不过这个su密码是不随着点击运维按钮和下发配置而改变的,就算默认超密被下发改了之后,su密码还是不变的。
-----第二天白天(11月27日)的更新-----(原本更新在1楼的回帖里了,后来还是觉得移到主题帖里比较有连续性)
昨天晚上搞定了su密码之后,老婆喊我陪她一起看电视剧《小巷人家》,今天下班回家再继续吧,河北电信应该是用loID来下发配置,估计今晚两个可能性:1、光猫已入库,直接用loID注册成功,完成自动下发配置。2、光猫没入库,注册失败,无法自动下发,那会有两个方案,方案一:手工配置数据连接;方案二:把之前旧光猫的mac和sn等信息刷进新光猫,看看能不能在局端那头蒙混过关。
今晚我试一下,看会发生哪种情况。
-----第二天晚上(11月27日)的更新-----
下班了,开开心心地把光纤从旧猫拔下来插新猫上,超密进入web配置界面,输入逻辑ID(LoID),开始注册。
提示OLT注册成功,光路通了,不错,至少可以手工建立链接来上网了!
接下来卡到30%,提示ITMS注册失败,如图:
果然这个猫没在河北电信入库(已经把光猫的地区配置改成河北了)
光猫改地区的方法:超密登录后访问: http://192.168.1.1/opid_setting.cgi,选择所在的省份,点确定,光猫重启动即可。
没入库不是什么大事,今天白天已经预料到有可能会这样,毕竟这猫太新了,没关系 ,咱们手动建立因特网连接。
建了一个新链接,参考旧猫里因特网链接的参数(主要是vlan号)设置为桥接,然后电脑拨号,OK,拨号成功,打算测一下网速,结果浏览器给直接转到了光猫注册的页面!
我去!光猫劫持了DNS!!!,无论什么网址,都劫持到光猫注册页面,估计光猫心里在想:老子都还没注册,你就想上网?先别,先注册了,咱们再聊上网的事!
这也在意料之内,我记得修改光猫的配置参数,直接改成ITMS注册成功就行了。
命令如下:
[Shell] 纯文本查看 复制代码 sendcmd 1 DB set PDTCTUSERINFO 0 Status 0
sendcmd 1 DB set PDTCTUSERINFO 0 Result 1
sendcmd 1 DB save
于是,进telnet,登录,su提权,输入命令……
我去,没有sendcmd命令!这货的shell够穷的。
打算先吃晚饭,然后看电视剧《小巷人家》,有空了再爬网怎么补全shell吧,有种不好的预感,这款光猫太新了,估计还没有大神补了它的shell。
-----第二天晚上(11月27日)看完连续剧之后的更新-----
爬了会儿网,才知道诺基亚家族不用中兴家族的命令,而是用cfgcli命令的。试一下,这个busyBox的shell有cfgcli命令,这下子成功了。
[Shell] 纯文本查看 复制代码 cfgcli -s InternetGatewayDevice.X_CT-COM_UserInfo.Status 0
cfgcli -s InternetGatewayDevice.X_CT-COM_UserInfo.Result 1
测了一下网速,好像测速网出bug了,我一个家用宽带的上传怎么跟下载对等了,应该是个bug,但上传无所谓,只要下行够千兆就好了。
好了,时间已经快夜里11点了,一个猫折腾了两天,也该弄好了,收拾收拾桌子,收工睡觉~ |