中兴光猫F450G v1.0配置

去年的200M宽带到期了。我在续费的时候发现上海电信已经推出了更大带宽的套餐，有500M和1000M两种，还赠送两路高清IPTV。由于担心新的套餐可能需要电信从局端下发新的配置，从而修改之前拿到了的管理员密码，我想着手在安装师傅上门之前学会破解家里的这台中兴F450G的光猫。

光猫版本

一开始找相关资料的时候就碰到了问题。F450G分为V1.0和V2.0两种硬件版本。网上所有关于V2.0的教程都是不适用的。V1.0版本的硬件和贝尔E-140W-P这款光猫是一样的，都由同维代工生产，Telnet之后使用的是MDM开头的命令。之后在网上找教程的时候看到的命令是MDM开头的话，就可以肯定说的是V1.0版本的机器了。

光猫的破解

首先说明，这个光猫注册LOID之后就会关闭Telnet服务，所以只能拆机之后用TTL大法破解。

也询问了淘宝，淘宝卖家说这个机子是可以远程破解的。只是难度比较大，使用收费更贵。我果断拒绝了。

在随后的折腾中，我发现chinadsl有一个帖子说这款路由器有一个免登录下载任意文件的漏洞，直接使用这个链接

http://192.168.1.1/downloadFile?file=/var/config/psi

就能下载到光猫的配置文件，其他的任何文件只要替代?file=之后的内容也都能够直接下载。下载下来的配置文件用文本编辑器查看后是乱码的，但是文件的开头有<compressed alg=lzw len=17528>这样的字眼，所以我估计这是用LZW算法压缩过的文件。无奈，网上遍寻不到现成的工具来进行解压缩，本人也不会写代码，只好作罢。如果有人能够沿着这个办法挖掘下去，有可能这个光猫的破解就非常简单了。

最后本人也是无奈地问安装师傅要来的超管密码。。。

光猫的设置

有了超管密码之后用telecomadmin用户名登录就是管理员界面。其实也可以用这样的链接直接登录

http://192.168.1.1/login.cgi?username=telecomadmin&psd=超管密码

我把光猫本来的设置截图备份了，以便未来需要恢复时作参考。

我对于光猫破解的需求主要基于四点原因：

1. 解除电信局端的远程控制TR069，防止修改超管密码。
   经过试验，直接删除TR069这条连接是会导致无法上网的，即使是修改这个连接的设置也会导致无法上网，也就是说这个连接必须保持connected状态，如下图。
   
   我查阅了TR069协议的具体实现过程，其实只要把ACS和CPE间通信的认证信息改地乱七八糟就可以了。具体的设置是在 网络->远程管理 这个页面下。碰到需要修改的部分为灰色的话，只要在chrome里右击选择检查，把对应的disabled=”disabled”删除即可。除了这个方法，后文还有更简单的方法。
   所以把认证信息修改成了这样： 

    ITMS服务器 通知 改为 禁用
   
    通知间隔时间从43200改为999999
   
    ACS URL从 http://devacs.edatahome.com:9090/ACS-server/ACS
   
    改为http://devacs.disabled-edatahome.com:9090/ACS-server/ACS
   
    ACS用户名从hgw改为hgw-disabled
   
    连接请求用户名从itms改为itms-disabled

2. 设置DDNS服务，以便在外网访问家庭内网功能，如开在路由器上的喂屁恩，aicloud等等。
3. 配合第二点还需要设置相应的端口转发。我为了方便直接设置DMZ主机到下层路由器。
4. 关闭光猫上默认开启的各种插件，以降低光猫的负载，防止光猫死机（之前偶尔发生过光猫死机的情况）。但是设置页面里也无法直接设置插件的开启和关闭，具体办法在后文里会提到。

对光猫系统文件的研究

参考了这个文章的介绍，访问http://192.168.1.1/scsrvcntr.html打开 telnet服务，然后就可以telnet进这台光猫了（默认用户名和密码都是telnetadmin）。
输入

？:

就可以看到所有可用的命令。

输入

linuxshell

就可以使用shell命令了，比如看看整个系统的文件结构啥的。
我在/usr/S304/cpk/httpd/MyPlugin/webs这个目录里发现了一些隐藏的设置页面：

http://192.168.1.1/backupsettings.html 导出配置页面
http://192.168.1.1/updatesettings.html 导入配置页面
http://192.168.1.1/scsrvcntr.html 服务访问控制，用来开关telnet，ssh，FTP等服务
http://192.168.1.1/factorymode.html 工厂模式页面，可修改MAC等参数，还可以修改不同省份的设置
http://192.168.1.1/test_version.html 版本信息页面
http://192.168.1.1/dumpmdm.cmd 版本信息页面，超密也在里面
http://192.168.1.1/switchmode.html 不知道干啥用
http://192.168.1.1/factoryswitch.html 在工厂模式和出厂模式之间切换
http://192.168.1.1/ftpcfg.html FTP服务器高级设置
http://192.168.1.1/wan_terminal.html 修改无线设备连接数限制
http://192.168.1.1/ipp_setup.html 启动打印机服务
http://192.168.1.1/pluginManage.html 插件管理页面，停了迅雷插件之后系统负载明显下降，未再发生过光猫卡死的现象
http://192.168.1.1/cttr69cfgenable.html 上文说到的TR069服务认证信息的设置页面，没有灰色输入框的限制
http://192.168.1.1/ctwancfgenable.html 连接设置页面，没有灰色输入框的限制。

相关的资源

1. 下载到了这个光猫的开发文档，这个光猫在中兴内部的代码是S304。很有意思的是开发文档里还有各位开发者阶段性的工作小结，读起来不禁让人会心一笑。
2. 网上也有中国电信在招标时对E8-C设备的招标要求–中国电信家庭网关(e8)技术要求。读了这个文档也理解了这个光猫的所有功能。
3. 各种参考链接。
   https://www.chiphell.com/thread-1690148-1-1.html
   http://www.chinadsl.net/thread-126463-1-1.html
   http://www.bijishequ.com/detail/264857
   http://koolshare.cn/thread-15347-1-1.html