吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 21903|回复: 877
上一主题 下一主题

[原创] 中兴光猫 ZXHN F450 3.0 漏洞分析与利用以及破解

    [复制链接]
跳转到指定楼层
楼主
JuncoJet 发表于 2019-7-25 16:22 回帖奖励
本帖最后由 JuncoJet 于 2019-7-26 10:14 编辑

最近家里宽带升级了200M,于是某信以我的老光猫(烽火某型号)不支持为由,给我换了新的光猫。说实话还是有点不舍得的,毕竟老的光猫是没有无线的(个人觉得这是个累赘,家里已经装了UBNTAP覆盖,而且也会增加光猫的功耗,最关键我的老光猫是破解的,出入管理界面自由)。然后就对破解光猫有了新的认识,比如什么是LOID啊,什么是ITMS啊,巴拉巴拉。

ZXHN F450 3.0的光猫,应该是江苏这里主流的新款光猫吧,我尝试了网上流传的所有破解方法,无一能成功的。所以就自己分析可能存在的漏洞,然后尝试利用并且破解。虽说现在回想以及使用漏洞破解轻而易举,但当初(3天前)想破乳头(乳就是小的意思)都找不出解决的办法,不过整个的破解过程还是需要唠叨一下的,毕竟这样才显得博学(误,对破解其他光猫会有很大的帮助,因为我用其他的方式,又破解了一台华为HG8145C 2.0的光猫,对于老光猫的话这些老方法还是很有效的。

1.        光猫到手我就拆了,因为知道破解光猫最终极方法就是TTL大法,于是我找出年代久远的CH341 土豪金编程器,跳线帽调至TTL模式,杜邦线接到光猫。以我多年PCB Layout经验,热焊盘的是GND,粗线的是VCC,另外两个可能是TX/RX,然后接上。Putty打开串口,打开光猫,出来了期待的文字,一脸果然如此的神情浮现在楼主稚嫩而精致的小脸上(窜线了。然后……然而……等到画面停止跳动,光猫完全启动,发现怎么按回车或是ESC都不能弹出登录界面?难不成线没接好,再重启,然后不断的按ESC,终于我进入了一个叫UBOOT的界面(就是小米手机刷机那个FASTBOOT,哦不对),反正就是用来引导系统启动,并且提供了一些基础的功能比如刷机,升级,重置之类的功能。然后我稍微尝试了一下(其实比较久,可以通过TFTP更新固件,然而手头没有合法的固件,貌似需要CRC32之类的校验合法性,所以刷不进。并且虽然提供了ls命令,但无法进目录里查看,只能查看根目录,其他的话基本都是内存读写NAND FLASH(闪存)读写之类,没有对文件系统结构具体的地址进行展示,就算是能读写NAND但不知道地址,胡乱写入只会让光猫变砖,变砖后虽然可以换新猫,但有拆卸过的痕迹怕是到时候需要好好解释(狡辩)一番的了。此方法就此告罢。



IC上的散热器胶很牢,用拆焊台加热240℃,中等头,吹个10多秒钟,然后拆下。




蛤,一波操作后比较乱。
2.        拔光纤,长按reset按钮重置机器。貌似没啥效果,只能起到重启的效果,没啥P用。
3.        通过网上流传的,重置光猫地址,切换地区方法来强制清空机器数据,从而破解光猫的原始管理密码。不过貌似是失败了,主要原因,该功能已全部设置了密码保护,只有拥有密码的管理员才能对机器进行上述的操作。

4.        研究U盘管理功能,是否可能存在权限访问U盘路径以外的其他路径。以/etc为例,使用HTTP调试工具Fiddler进行参数的改写。列出/etc目录下的文件,这个操作有点慢,因为这个目录下文件有点多,我都以为失败了,结果列出来了一大堆的数据。然后我再尝试了获取/etc/password/etc/shadow文件,拷贝到U盘中,结果能成功(这个部分没啥用,因为我没法Telnet也没法TTL登录进路由器)。再做了一些测试,和网上流传的说法/userconfig/cfg目录下是存放光猫配置的,我尝试把这个目录下的配置文件拷贝到U盘,然后打开文件,很遗憾xml被加密了。看文件的结构,应该是比较严谨的加密,但还是怀着试试看的心态写了个XOR暴力穷举程序,试试看会不会不像表面上那么难。但结果比较遗憾,和表面上看上去一样的强(穷举程序代码如下,可以附件中下载)。



列出配置文件,如果你只是要破解光猫,直接删除掉这些配置文件就行了,如下图


导出的配置文件

使用XOR暴力穷举,尝试破解
5.        久违的无法上网,等我破解了超管权限之后,我竟然无法上网了。猜想可能配置文件丢失,可能重置一遍机器就会好的,所以就彻底重置机器,然后再试。不试不知道,一试吓一跳,我竟然3天都没搞定,一直无法上网。用手机百度了无数个帖子,发现貌似有个叫LOID(中文名宽带识别码,逻辑ID)的东西。仔细查看发现疑似被重置掉了,网上有说法说可以找某信可以要,于是就打电话给某信,我已经明确的说宽带识别码了,但是客服却不肯给我,非要安排个小哥上门。上门就上门吧,不带怕的,虽然机器还裸体着……某信小哥上门就给输了码,成功的上网。但我是个不信邪的人啊,对于出现的问题刨根问底才能在逆境中成长,我深知这个道理。所以我又把光猫给破解了一次(采用第4种方法),破解后重启进入光猫,我果然看到了LOID,并自行的保存好以备用。然后我又重置了机器,自信满满的输入了LOID,并且成功的没法上网。我当时就窝了一个艹,怎么回事?登录进管理界面发现ITMS注册不了,这个东西疑似是需要某信在系统上登记的,需要下发。不黑进某信的系统,是没法进行下发操作啊……这么想着,又一天过去了。我就收了两个旧猫。如下图,当是的猜测是这样的,可能老猫不需要ITMS注册,网上搜索结果来看,很多老猫用户ITMS没有注册就成功的上网了。于是倒腾起了华为HG8145C光猫来。


注意上图和下图LOID区别


6.        一言不合就开盖,HG8145C的盖比F450难拆不止一点点,F450可以几乎无损的拆开,但是8145拆开还是断了不少的脚的。好在外部没有什么拆卸痕迹(对于一个外观DANG,我不忍心看到一点瑕疵),拆开后看到主板上有5个接口,看着像串口。凭借多年PCB Layout经验,秒区分出了VCC GND TX RX(就是这么流弊,我能说啥),但是接上串口疑似没啥反应,用新买的钳形表(只是突出个性,普通万用表也行),测得电压只有TX RX 40mV,一般来说TX RX的电压都在3.2V才是正常的。于是找板子上的布线,发现TX RX少了两个电阻。测量电阻的前端,电压得到3.2V,懒得补上电阻(0402的电阻我也没有啊,还要去买),直接飞线接出。接上我的CH341土豪金,完美的得到tty,久违的登录界面出现了,但是root的密码admin却不对。求助chinadsl上的大佬得到了adminHW这个密码成功的登录进去。按照网上的教程备份配置文件之类的命令全被和谐了,shell里面也就少的可怜的两个命令,其中一个还是exit。唉,只能自己研究,研究发现WAP模式下,可以restore_factory,重启后成功的通过telecomadmin nE7jA%5m成功的登录进了管理界面。



留了后门的HG8145C

7.        为全新的HG8145C(重置完了啥也没有)绑定LOID,输入后没过多久,我就注册上了。系统界面上显示OLTITMS都注册通过了。当时我又是一个我了个艹,难道说老光猫容易破解?或者说不需要特定的注册??然后我又试回了F450光猫,一波操作之后也能够上网了。这就似乎有点诡异,经过一波研究并且结合百度上大家的说法,猜测可能光猫在某信的系统上只能被绑一次。同一个光猫同一个终端接口(光纤接入)需要某信解绑后才能重新注册使用,但是换来了光猫之后会自动重新绑定新光猫。所有这就是我用了HG8125C后再F450也能上网,单单使用F450却怎么重置,怎么注册都上不了网。如果手头只有一台光猫的小伙伴们,你们可能只能找某信小哥上门帮解绑重新注册牢哟。这个部分我就不截图牢,上网谁不会,噗。

关于ZXHN F450 3.0的漏洞,应该是权限不明确,WEB SERVER运行在root权限下导致的,同样的漏洞在华为的机器上却没有。因为看过华为的机器,对权限设置的非常的严谨,并且在登录认证上也很复杂,密码输入超过次数后都会被锁定,并且无法修改disable属性来强制的提交。中兴的机器,只能说一般。但是TTL、Telnet等都彻底阉割干净了,所以很少有可以利用的漏洞,目前作者就发现这个唯一一个可以利用的漏洞。其本上全球首创。对于某信需要修正这个漏洞也是很容易的,直接做个路径匹配,轻轻松松的就解决了。但个人来说还是(不)希望某信修正的,这样的话可以多学习一些知识,写出更流弊的破文(噗


根据作者的亲身经历,研究心得,开发了一键化破解工具(详见附件),如果是F450 3.0江苏版的用户你们有福了哟。

或者想学习整个破解过程手动破解的,也可以看我自己录制的教学视频,视频地址:https://pan.baidu.com/s/11eaIchIJYjARr4UC38Zl4A 提取码:xhm9

xorCrack.rar

85.26 KB, 下载次数: 318, 下载积分: 吾爱币 -1 CB

F450破解器.rar

2.9 KB, 下载次数: 367, 下载积分: 吾爱币 -1 CB

点评

破解后,能免费上网吗?  发表于 2019-7-30 15:20

免费评分

参与人数 277吾爱币 +261 热心值 +253 收起 理由
cc1h142341 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
a17418419 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
tsg211530 + 1 + 1 热心回复!
boy433441 + 1 + 1 我很赞同!
szoe + 1 + 1 谢谢@Thanks!
wnzczh4987 + 1 + 1 我很赞同!
h31558770 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
春曌 + 1 我很赞同!
枫秋叶下 + 1 + 1 热心回复!
nanmobei + 1 + 1 鼓励转贴优秀软件安全工具和文档!
huapeng147 + 1 + 1 用心讨论,共获提升!
xiaoqinglong1 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
江澤妮可 + 1 谢谢@Thanks!
nohack_pojie + 1 + 1 楼主你用fiddler工具删除管理员后台配制文件,在不联网的情况下用默认密码.
laodan + 2 + 1 理性探讨
q8909742 + 1 + 1 我很赞同!
mmn0218 + 1 + 1 用心讨论,共获提升!
郭嘉的不要抢 + 1 + 1 我很赞同!
3xec3r + 1 + 1 热心回复!
Pdx666 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hpp712 + 1 + 1 热心回复!
skyphoenix99 + 1 + 1 谢谢@Thanks!
keven_fan + 1 + 1 谢谢@Thanks!大神。可以解压密码多少啊?
foxdog + 1 + 1 老乡,顶你菲菲
人1998 + 1 + 1 热心回复!
Tomatoey + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
ILOVE吾爱破解 + 1 + 1 谢谢@Thanks!
—程哥 + 1 谢谢@Thanks!
shyocean + 1 第一次看到如此牛逼如此高端技术分享。留着备用
汽配软件 + 1 + 1 用心讨论,共获提升!
dancao + 1 + 1 谢谢@Thanks!
vizardtdst + 1 + 1 用心讨论,共获提升!
china-mr-z-x + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
dfsaddss + 1 + 1 用心讨论,共获提升!
ScareCrowL + 2 + 1 我很赞同!
宸先生 + 1 + 1 热心回复!
opi163 + 1 热心回复!
泰阳的妍色 + 1 + 1 6666666666666
turan + 1 + 1 热心回复!
chillyme + 1 + 1 用心讨论,共获提升!
nshark + 1 + 1 谢谢@Thanks!
ty94516 + 1 苏州电信找10000号要超级帐号密码
psclear + 1 + 1 用心讨论,共获提升!
陈世界 + 1 + 1 我很赞同!
jay88998899 + 1 + 1 谢谢@Thanks!
pipi5123083 + 1 + 1 热心回复!
209566436 + 1 + 1 谢谢@Thanks!
k4jar + 1 + 1 我很赞同!
孤独患者” + 1 热心回复!
Lugia + 1 + 1 谢谢@Thanks!
zuohaoda + 1 + 1 其实我就是看故事的
thinkzc + 1 + 1 热心回复!
zycode + 1 + 1 谢谢@Thanks!
Jaanzzz + 1 谢谢@Thanks!
六道仙人 + 1 + 1 我竟然耐着性子读完了.而且我啥也不懂
shinehxs + 1 + 1 我很赞同!
si012345 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
liphily + 1 200热心,经验160。精华+80经验,好羡慕啊
yaoyao7 + 1 + 1 我很赞同!
jnez112358 + 1 + 1 谢谢@Thanks!
xuanle6 + 1 + 1 谢谢@Thanks!
yaojianhao + 1 + 1 谢谢@Thanks!
sunline + 1 + 1 谢谢@Thanks!
VanYun + 1 热心回复!
plasd + 1 + 1 用心讨论,共获提升!
harrylyx + 1 我很赞同!
lz2018 + 1 用心讨论,共获提升!
momomo777 + 1 我很赞同!
cz5477 + 1 + 1 我很赞同!
y20106998 + 1 + 1 我很赞同!
dibin + 1 热心回复!
gavin913 + 1 + 1 用心讨论,共获提升!
frey.z + 1 + 1 我很赞同!
Minesa + 1 + 1 谢谢@Thanks!
Sev7en + 1 + 1 用心讨论,共获提升!
drw168 + 1 + 1 谢谢@Thanks!
跳跃的灵魂 + 1 + 1 你他娘的真是个人才
hellchard + 1 + 1 用心讨论,共获提升!
zx5155 + 1 我很赞同!
w19890614 + 1 + 1 能科普下破解后有什么好处吗?
zzombie + 1 + 1 谢谢@Thanks!
qq891002088 + 1 + 1 用心讨论,共获提升!
snccwt + 1 + 1 热心回复!
bigkat + 1 + 1 能动手焊板子的真的是高手
159921 + 1 我很赞同!
redfox + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
llm4041 + 1 + 1 我列个艹,大佬牛批
spll6 + 1 NB
daniel7785 + 1 用心讨论,共获提升!
yzyuan007 + 1 + 1 用心讨论,共获提升!
zxf4125 + 1 + 1 我很赞同!
dxlmn + 1 我很赞同!
lrv + 3 + 1 辛苦了,一倒腾就是三天呀!
xielyhaoli + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
微笑着走过 + 2 + 1 先赞扬分享,再悄悄告诉你,其实直接找装宽带的师傅,他会给你超级管理员密.
xuzhisen2010 + 1 + 1 热心回复!
xggmmm + 1 我很赞同!
linrunqing521 + 1 支持 谢谢
这是我的号 + 1 热心回复!
锁匙扣 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
smile1110 发表于 2019-7-26 17:15
本帖最后由 smile1110 于 2019-7-26 17:31 编辑

拆了光猫看了一下主板上面的固件还原重置点位 , 最后还是用的符合中兴2 3 4代光猫,通用超级密码,为嘛不直接用中兴没有屏蔽的telnet 连接,伪造地址并打开后,然后用光猫下面低权限的账号密码连入,读配置文件,像telecomadmin nE7jA%5m这种通用的root账号,一般区域 电信和联通运营商并不会从配置中删除这块,直接读root账号即可.结饶了这麽大一个圈,就用了别人提供的root账号和密码.,我精通ccs,计算机电气化的全部分支.只是不认为嵌入式跟5G通讯以及电气自动化等其它的硬件逆向是ctf方面的的未来,因为在两年之前的国外大佬的普遍探索,因为大气层计划人才辈出,导致跳过了play station 为代表的嵌入式这块,现在的cracker的逆向工程因为六七八代cpu没有本质换代问题,当然极客也是想要屏蔽14nm+++++工艺的引脚来用旧主板,,焦点普遍在cpu的漏洞和物联网漏洞这块,你以为我在说废话,实质上,两年前直接cracker绝大部分精锐已经跳过了计算机电气化这个过程,这跟计算机科学的基础电子无关,嵌入式的研究在国内大的论坛也有,恩山,迅维,chiphell.而这篇文章的程度在这些地方旧能体现说程度多低.只是ccs并非re的未来.另外spdif那篇文章spdif 本身就是高清音频光纤线,起了一个无比猖獗的题目,这篇文章饶了这麽大一个圈,就用了别人提供的root账号和密码.毫不夸张的概论剽窃加吹嘘,是欺我吾爱无人?两篇文章程度之低,令我辈汗颜,拉黑不解释.这篇文章还远不到ccs的门槛,长篇累牍,废话连篇.以这两篇文章的标题,怕不是以为要推进re到上面这两年聚焦的最前沿的领域,既然空洞无物,有名无实.
那么写这篇文章的意义何在呢?为了维护吾爱的公正性我才开喷,并对上面这番话负责

点评

抱歉,我没有时间给蠢货回贴.  详情 回复 发表于 2019-7-27 04:59
精通CCS?电气工程?很厉害吗??我不仅精通CSS、PHP、C、C++、C#、Java、Ruby、python、Objective-C、Pascal、spss、sas等单词的拼写,还熟悉Windows、Linux、Mac、Android、IOS等系统的开关机,和我比弱爆了  发表于 2019-7-26 23:18
你是没看懂还是来装X,root密码的是华为hg8145,我原创的是中兴f450破解。不喜欢你可以不看,很显然你也没看,那你当我没说……  发表于 2019-7-26 22:36

免费评分

参与人数 7吾爱币 +6 热心值 +5 收起 理由
liehai + 1 + 1 感觉这一顿操作猛如虎。。。现在大部分光猫都默认的超管密码
sqlqr + 1 不明觉厉
woditian + 1 + 1 硬核破解,大佬流弊
pdsjjm + 1 我很赞同!
recusant + 1 + 1 一针见血
leroy特洛伊 + 1 日常关注51第一大牛“喷”,不过文章意义不大,加精不妥
凉米饭 + 1 + 1 用心讨论,共获提升!

查看全部评分

推荐
老脸通红 发表于 2019-7-27 10:37
首先楼主是用的依旧是EPON而不是现在的GPON,EPON的带宽速率要低于GPON的。
因为已经是200M宽带,那么就需要设备有千兆网口,老光猫不支持很正常,否则你200M的带宽能使用的速率依旧是100M的上限。
其次楼主家是FTTH接入,从二级分光出来的,1台分光器搭载8个用户,你和其他7名用户的逻辑ID都是相同并恒定的。这是因为电信在当初二级分光器挂测的时候就锁死了,你的逻辑ID就是OLT下挂的PON口(至少电信一定是这个),例如PON口为1-5-3,那么你和其他同一分光器的7名用户的逻辑ID就一定是0503,改了就不能上网了。所以其实有了超管密码,能动的只有改桥接或者路由模式,其他数据改了都会上不了网,你改的我们称为ONU数据,一旦ONU数据变化就会造成ONU到ODN再到上联OLT的数据不一致,然后上不了网。
要获取你的逻辑ID你只用和负责你家宽带的装维师傅联系,他们都有这信息的,不过在我看来,超管密码的实际意义并不大。

免费评分

参与人数 7吾爱币 +10 热心值 +7 收起 理由
335505 + 1 + 1 说的完全正确。破解只是为了路由模式改桥接模式。而且超密在宽带小哥那里是.
sqlqr + 1 电信员工发来贺电,其实破解光猫没有任何意义!
huzpsb + 3 + 1 我很赞同!
漫步时光 + 1 + 1 热心回复!
xuanle6 + 1 + 1 谢谢@Thanks!
shinsbo + 1 + 1 原来如此
JuncoJet + 3 + 1 科普帖

查看全部评分

推荐
百叶儿 发表于 2019-7-26 18:45
写的很好 那些itms  ,loid  ,感觉破解没啥用啊 ,我就是电信的 ,哪里的保密 ,光猫超级管理员密码 我们这只要恢复出厂一次就会被重置,而且我有查看管理密码的权限,loid 权限,上网宽带改密码的权限我也有,现在的老猫和新猫后台上网的数据是不一样的,如果用老猫直接换新猫 很多时候是上不去网的,新猫换老猫倒是可以上网
推荐
 楼主| JuncoJet 发表于 2019-7-25 17:02 <
吴壮壮 发表于 2019-7-25 16:57
电信的路过,换光猫有时需要PON注册,或ITSM解绑的

我这里两台互换着绑可以,但同一台机器没法绑两次
推荐
lao_jin 发表于 2019-7-25 16:42
硬核大佬只可观摩手残党退了,感谢分享方法。
推荐
pjyhm 发表于 2019-7-30 21:35
感谢大佬,也是刚换的F450,用一键工具有没有变砖的危险?
推荐
蓝枫冰笛 发表于 2019-8-11 09:44
完全的不懂。。
9#
ziye子夜子夜 发表于 2019-7-25 16:45
第一  楼主牛逼 ,虽然我刷废了没得刷的
10#
懵智呀 发表于 2019-7-25 16:48
期待安徽地区大佬强势登场
11#
h0314 发表于 2019-7-25 16:48
看完了,谢谢分享
12#
z532931406 发表于 2019-7-25 16:49
直接用超级管理员密码破解可以吗,用TTL刷的话,要备份配置吧,不然很容易出问题
13#
ivanlong 发表于 2019-7-25 16:56
楼主厉害,写得详细,只是我看不明白 。
14#
吴壮壮 发表于 2019-7-25 16:57
电信的路过,换光猫有时需要PON注册,或ITSM解绑的
15#
 楼主| JuncoJet 发表于 2019-7-25 16:57 <
z532931406 发表于 2019-7-25 16:49
直接用超级管理员密码破解可以吗,用TTL刷的话,要备份配置吧,不然很容易出问题

如果是F450的话,我发的一键化工具就可以破解了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-8-25 02:03

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表