获取光猫超级账号

配置文件

超级管理员的用户名和密码被保存在特定的配置文件中. 以下是几个常见的配置文件及其对应的检索方法:

1. /var/lastgood.xml, 存在密码明文, 检索关键字: SUSER_PASSWORD. 已知适用型号: HG521G.
2. /data/factory.conf, 存在密码明文, 检索关键字: TelecomPasswd.

3. /userconfig/cfg/db_user_cfg.xml, 需要使用解码器进行解码. 已知适用型号: ZXHN F450/ZXHN F650.

   中兴光猫配置文件解码器: https://github.com/wx1183618058/ZET-Optical-Network-Terminal-Decoder.
   请依次尝试不同解码方式, 解码方式有 CRC, AESCBC, XOR.

   ztecfg.exe -d CRC -i db_user_cfg.xml -o result.xml
   

   在 result.xml 中查找下面两行, 即可获得超级用户名和密码:

   <DM name="User" val="telecomadmin"/>
   <DM name="Pass" val="telecomadminXXXXXXXX"/>
   

获取配置文件 (适用于天翼网关)

利用路径穿越漏洞, 可以将带有超级管理员密码的配置文件拷贝到 U 盘中. 以下是具体步骤:

1. 将 U 盘插入光猫, 登录天翼网关后台.
2. 进入 存储管理 | 存储设置.
3. 使用元素选择工具选择文件查看器里的任意元素.
4. 在控制台中执行两次 openfile("..") 来穿越到根目录, 可访问所有文件.
5. 将所需的文件(如上述配置文件)拷贝至 U 盘.

或者直接调用 API 拷贝指定目录到 U 盘: http://192.168.1.1/cgi-bin/luci/admin/storage/copyMove?opstr=copy|/userconfig|/mnt/USB_disc1|cfg&fileLists=cfg/&_=0.5060406976503316.
输出内容 {"setRes":true,"filePath":"/userconfig","percent":100,"transId":0,"fileNum":0} 表示操作成功.

持久化

Warning

下面操作存在较高风险, 需谨慎操作.

超级管理员的密码通常是动态生成的, 设备重启后会重新分配. 以下是解决方法:

1. 在 网络 | 网络设置 | 网络连接 中, 选择名字带有 TR069 的连接. 点击 删除.
2. 在 网络 | 远程管理 | ITMS服务器 中, 反选 启用周期上报, 并修改 ITMS认证地址 使其失效. 点击 保存.

小翼管家

详情请参见: https://www.coolapk.com/feed/33501113?shareKey=MDgwNzQ2YWNiY2Y1NjIyMGIyM2Y~&shareUid=627334&shareFrom=com.coolapk.market_12.0.6.

通用超级密码

对于旧设备, 可以直接使用以下通用超级密码进行登录:

• 电信超级账户: telecomadmin, 密码: nE7jA%5m.
• 移动超级账户: CMCCAdmin, 密码: aDm8H%MdA.
• 联通超级账户: CUAdmin, 密码: CUAdmin.

参见

• 中兴光猫配置文件db_user_cfg.xml结构分析及解密 - 吾爱破解.

参考

• https://www.52pojie.cn/thread-999381-1-1.html.

评论