移动 H2-3 光猫破解经验

截至 2024-11-08

1. 破解并登录 telnet

  1. 确保能正常访问光猫后台(192.168.1.1)
  2. 浏览器打开 http://192.168.1.1/webcmcc/gui_device_info.html?password=!@qw34er&username=root

  1. 找到 telnet,看看是不是 = 1,如果不是的话需要首先打开 Telnet
  2. 浏览器进入

http://192.168.1.1/webcmcc/telnet.html?password=!@qw34er&username=root

或者

http://192.168.1.1/webcmcc/rc_telnet_debug.html?password=!@qw34er&username=root

勾选 telnet 选项,用户名和密码都填 root(密码便于记忆),填写后点确定

  1. 修改完后用正常的 User 用户登录进光猫后台(192.168.1.1),重启光猫
  2. 用 telnet 客户端连接 192.168.1.1,用户名 root,密码为 @qw34er
  3. 登录进去之后还有一层 OpenWrt Login:,此时输入上面设置的,用户名 root,密码 root
  4. 成功登录 OpenWrt,进去之后 uname -m 查看系统环境,我这边手里的是 arm-v7a,而且系统应该只有 busybox 可用。
  5. 上面的流程可能每过一段时间就要重新操作一次,因为有 RMS 动态下发配置重置密码,又不好关闭(关了影响光猫正常动态配置的下发)

2. 修改超管密码

  1. 进入 /config/worka 目录,各账户密码记录于 lastgood.xml 中。
  2. 使用文本编辑器进入,搜索 aucTeleAccountName,可以找到相关配置条目:
<Value Name="aucTeleAccountName" Value="CMCCAdmin"/>
<Value Name="aucTeleAccountPassword" Value="4e,02,d3,9b,34,0a,0e,e4,2a,31,90,3b,db,86,9f,2f,54,06,b3,f8,f8,df,...>
<Value Name="aucUserAccountName" Value="user"/>
<Value Name="aucUserAccountPassword" Value="62,79,67,34,35,34,33,40,00,00,00,00,00,00,00,00,00,00,00,00,00,00...>

第一个 CMCCAdmin 就是超管密码,第二个 user 则是普通用户密码。密码有几种记录方式,第一种就是像下面的普通用户一样,直接逐个字符用 ascii 码记录;第二种就是上面的超管密码,应该使用了某种加密机制加密,无法直接破解,但是整行可以被覆盖掉,同样可以起到修改超管密码的效果。

由于 RMS 动态下发配置,超管密码会定期被自动修改,因此此操作也需要定期进行。

  1. 替换密码

由于超管密码使用了特殊的加密机制,因此不太好简单地把下面的 user 密码替换上去。

我们使用 vi /config/worka/lastgood.xml 打开配置文件,输入 /aucTeleAccountPassword 回车搜索,搜索到 CMCCAdmin 的这一行对应的密码,按 dd 删除当前行,然后按 i 进入编辑模式,粘贴如下密码行:

<Value Name="aucTeleAccountPassword" Value="61,44,6d,38,48,25,4d,64,41,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00"/>

然后 ESC 退出编辑模式,按:wq 保存编辑。

最后,跑命令 cp /config/worka/lastgood.xml /config/workb/lastgood.xml,把另一边的配置文件也做同样修改

  1. 完成

reboot 重启光猫,然后再用浏览器进入 192.168.1.1 后台,就可以用如下账号登陆了:

账号:CMCCAdmin

密码:aDm8H% MdA

3. 改桥接

改桥接还是很简单的,以超管身份登录,进入设置,将 INTERNET 所在连接项从 Route 模式改成 Bridge,保存即可。

然后在路由器上改成 PPPoE 拨号登录,输入宽带账户和密码拨号。宽带密码可以直接在光猫界面上 F12 查看密码框内容得到,乐。

4. 吐槽

移动大内网👍👍

即使改了桥接,拿到的仍然是运营商 NAT 后的 IP,所以貌似改了也没有什么卵用。。。拿 NatTypeTester 测了一下,仍然是端口限制类 NAT。少了一层 NAT 可能性能稍微好一点儿(

杂项
#路由器
移动 H2-3 光猫破解经验
https://blog.openyq.top/posts/58836/
作者
yqs112358
许可协议