爱华网最近电信光纤改造,给了一个"华为HG8245"的光猫
众所周知,凡是天朝定制的东西一概是有限制且脑残的
需要分分钟破解掉它.
进入正题之前说一句...需要您有一点Linux基础,
否则,很可能看不明白我在说啥.
破解的主要工作
1) 拿到超级密码,完全掌控设备
2) 破除同时上网的机器限制
3) 不让电信追踪你
4) 开路由,Wifi,充分利用设备
下面开始.
首先...试试用户 telecomadmin 密码 nE7jA%5m 能不能进去
电信定制的东西,一般是可以的,进去以后,网络->宽带设置
把里面几条设置记下来,主要记 vlan id 和 802.1p 那两项
这个记下来,以后有用,最好再找个U盘,备份一下配置,以防万一.
如果进不去... telnet 到 192.168.1.1 用户名 root 密码
admin 进去以后敲 shell 回车,这就是一个简易的linux shell
cd /mnt/jffs2/ 然后 ls 看,里面有几个东西是重要的
hw_ctree.xml 这个是我们要改的配置文件,还有一个
hw_ctree_bak.xml 这是"备份"用的,hw_default_ctree.xml
这个是"出厂默认"的.
vi hw_ctree.xml 这个文件....不会用vi的去补课先....
首先,查找这段...
<X_HW_WebUserInfo NumberOfInstances="2">
<X_HW_WebUserInfoInstance InstanceID="1" UserName="telecomadmin"
Password="nE7jA%5m" UserLevel="1" Enable="1"/>
<X_HW_WebUserInfoInstance InstanceID="2" UserName="useradmin"
Password="admin" UserLevel="0" Enable="1"/>
</X_HW_WebUserInfo>
恩,现在你可以把telecomadmin,useradmin改成你喜欢的名字
密码改成你喜欢的密码....
接着,查找这段.
<X_HW_CLIUserInfo NumberOfInstances="1">
<X_HW_CLIUserInfoInstance InstanceID="1" Username="root"
Userpassword="21232f297a57a5a743894a0e4a801fc3"/>
</X_HW_CLIUserInfo>
这个是你刚才telnet登录的用户名和密码,其中 admin 经过md5
之后就是 21232f297a57a5a743894a0e4a801fc3 你可以改成别的
比如你想改成 123456 那么在Linux底下
# echo -n 123456|md5sum
e10adc3949ba59abbe56e057f20f883e-
改成Userpassword="e10adc3949ba59abbe56e057f20f883e" 就
可以了,手头没有Linux的话,找个"在线算md5"的地方也成...
还有一个地方,查找
<X_HW_UserInfo UserName="SZ00***" UserId="" Status="0" ....
<X_HW_ServiceManage FtpEnable="0" FtpUserName="root"
FtpPassword="123456" FtpPort="21" FtpRoorDir="/mnt/usb1_1/"
FtpUserNum="0"/>
<X_HW_AmpInfo EthLoopbackTimeout="0" LoidAuthLedEnable="1"/>
这一段,是控制用ftp上传/下载文件(一般是刷固件)时候使用的密码
这里改不改都行了,手勤快就把 FtpUserName 和 FtpPassword 都改了.
再然后,查找这段
<X_HW_PortalManagement Enable="0" DefaultUrl=""/>
<X_HW_AccessLimit Mode="GlobalLimit" TotalTerminalNumber="2"/>
</Service>
妈X,真底限,这个TotalTerminalNumber的意思就是,同时只能有2台
设备上网,多了不让,随便改个你喜欢的数字,比如256差不多了吧...
改到这里,基本上可以了,但是如果你注意看,在管理界面->网络->
宽带设置 里面,第一个链接,是删不掉的,这个偏偏又是*TR069*
这个协议是电信用来控制你的设备的,有了这东西,你的设备啊,内网啊
基本就是透明的,所以,我认为这破玩意必须删掉.
删除这个比较复杂,你需要知道XML的组织方式,找到这一段
<WANConnectionDevice NumberOfInstances="2">
<WANConnectionDeviceInstance InstanceID="1" WANIPConnecti....
<X_HW_WANUpLinkConfig X_HW_Enable="1" X_HW_Mode="2" X_HW_....
<WANPPPConnection NumberOfInstances="1">
<WANPPPConnectionInstance InstanceID="1" Enable="1" Reset....
</WANPPPConnection>
</WANConnectionDeviceInstance>
<WANConnectionDeviceInstance InstanceID="2" WANIPConnecti...
<X_HW_WANUpLinkConfig X_HW_Enable="1" X_HW_Mode="2" X_HW_...
<WANIPConnection NumberOfInstances="1">
<WANIPConnectionInstance InstanceID="1" Enable="1" Reset...
<X_HW_ExtendDHCPOPTION60 NumberOfInstances="4">
<X_HW_ExtendDHCPOPTION60Instance InstanceID="1" Enable=...
<X_HW_ExtendDHCPOPTION60Instance InstanceID="2" Enable=...
<X_HW_ExtendDHCPOPTION60Instance InstanceID="3" Enable=...
<WANPPPConnection NumberInstance InstanceID="4" Enable=...
</X_HW_ExtendDHCPOPTION60>
</WANIPConnectionInstance>
</WANIPConnection>
</WANConnectionDeviceInstance>
</WANConnectionDevice>
很长的,我没有贴全,请注意观察, WANConnectionDevice 就是配置的
"wan"连接,其中每个 "WANConnectionDeviceInstance" 是一个配置项
这就好办了,如上面的第一行.... NumberOfInstances 是2个,我们要
删掉一个(减少一个),所以这里改成1.
下面每个WANConnectionDeviceInstance都有一个InstanceID,第一个
是1,第二个是2,先看看第一个,从头看到尾,发现了"TR069"字眼,没错
就是它! 于是,从<WANConnectionDeviceInstance InstanceID="1"...
开始,一直删到最近的 </WANConnectionDeviceInstance> 结束,搞掂.
然后保存退出:wq 重启设备,用刚才改过的telecomadmin用户和密码登录
看看是不是好使了,那个TR069的链接是不是删掉了.telnet一下看看密码
是不是改掉了.
一切顺利的话,进去删掉 hw_ctree_bak.xml hw_default_ctree.xml
这俩文件,用 hw_ctree.xml 覆盖.
rm -rfhw_ctree_bak.xml hw_default_ctree.xml
cp hw_ctree.xml hw_ctree_bak.xml
cp hw_ctree.xml hw_default_ctree.xml
保存劳动成果,恩...
进管理界面...网络->宽带设置,如果你电话走光猫的话,需要添加一个
VOIP类型的链接,vlan id 用刚才记下来的,在添加一个INTERNET类型的
连接,同样用刚才记下来的 vlan id, 是不是开路由看你的喜好.保存
重启,这就全部搞定了...
其他配置,诸如无线,防火墙神马的,都很简单,配过家用路由的人应该
一看就懂,故不赘述.
华为的其他定制设备,也是类似的办法改配置文件,不同的是,它的配置
可能是加密的,但加密方法脆弱,可以写个小程序,加密/解密就随便搞了,
默认没有开telnet服务的话(比如华为HG622),需要用备份/恢复的方法
来写入"自定义配置文件", 备份->解密->修改->加密->恢复 这么个过程.
-- 以下是无关话题 --
既然说到华为的这个加密,那就讲一下算法...*几乎所有* 华为家用设备
备份出来的"配置文件",都是这么加密的,有C++代码供参考:
加密,就是挨个把ascii值乘以2,如果超过127了,就减去127,完活.
string encode(string input){
string rtn="";
for(int i=0;i<(signed)input.length();++i){
unsigned char val=input.data()[i];
int n=val*2;
if(n>127){
n-=127;
}
rtn.append(1,(char)n);
}
return rtn;
}
解密,就是加密的逆过程,模2看看,如果是单数,说明是减过127的.
加回来除以2,双数说明根本没超,直接除2了事.
string decode(string input){
string rtn="";
for(int i=0;i<(signed)input.length();++i){
unsigned char val=input.data()[i];
int n=0;
if(val%2){
n=(val+127)/2;
}else{
n=val/2;
}
rtn.append(1,(char)n);
}
return rtn;
}
-- 无关话题结束 --
最后,引用一句装逼的话,结篇.
“Across the Great Wall We Can Reach Every Corner in the World”
(完)
