中兴光猫F450G v1.0配置

Written by 翔仔. Posted in 网事腥风. No Comments

去年的200M宽带到期了。我在续费的时候发现上海电信已经推出了更大带宽的套餐,有500M和1000M两种,还赠送两路高清IPTV。由于担心新的套餐可能需要电信从局端下发新的配置,从而修改之前拿到了的管理员密码,我想着手在安装师傅上门之前学会破解家里的这台中兴F450G的光猫。

光猫版本

一开始找相关资料的时候就碰到了问题。F450G分为V1.0和V2.0两种硬件版本。网上所有关于V2.0的教程都是不适用的。V1.0版本的硬件和贝尔E-140W-P这款光猫是一样的,都由同维代工生产,Telnet之后使用的是MDM开头的命令。之后在网上找教程的时候看到的命令是MDM开头的话,就可以肯定说的是V1.0版本的机器了。

光猫的破解

首先说明,这个光猫注册LOID之后就会关闭Telnet服务,所以只能拆机之后用TTL大法破解。

也询问了淘宝,淘宝卖家说这个机子是可以远程破解的。只是难度比较大,使用收费更贵。我果断拒绝了。

在随后的折腾中,我发现chinadsl有一个帖子说这款路由器有一个免登录下载任意文件的漏洞,直接使用这个链接

http://192.168.1.1/downloadFile?file=/var/config/psi

就能下载到光猫的配置文件,其他的任何文件只要替代?file=之后的内容也都能够直接下载。下载下来的配置文件用文本编辑器查看后是乱码的,但是文件的开头有<compressed alg=lzw len=17528>这样的字眼,所以我估计这是用LZW算法压缩过的文件。无奈,网上遍寻不到现成的工具来进行解压缩,本人也不会写代码,只好作罢。如果有人能够沿着这个办法挖掘下去,有可能这个光猫的破解就非常简单了。

最后本人也是无奈地问安装师傅要来的超管密码。。。

光猫的设置

有了超管密码之后用telecomadmin用户名登录就是管理员界面。其实也可以用这样的链接直接登录

http://192.168.1.1/login.cgi?username=telecomadmin&psd=超管密码

我把光猫本来的设置截图备份了,以便未来需要恢复时作参考。

我对于光猫破解的需求主要基于四点原因:

  1. 解除电信局端的远程控制TR069,防止修改超管密码。
    经过试验,直接删除TR069这条连接是会导致无法上网的,即使是修改这个连接的设置也会导致无法上网,也就是说这个连接必须保持connected状态,如下图。

    我查阅了TR069协议的具体实现过程,其实只要把ACS和CPE间通信的认证信息改地乱七八糟就可以了。具体的设置是在 网络->远程管理 这个页面下。碰到需要修改的部分为灰色的话,只要在chrome里右击选择检查,把对应的disabled=”disabled”删除即可。除了这个方法,后文还有更简单的方法。
    所以把认证信息修改成了这样:

     ITMS服务器 通知 改为 禁用
    
     通知间隔时间从43200改为999999
    
     ACS URL从 http://devacs.edatahome.com:9090/ACS-server/ACS
    
     改为http://devacs.disabled-edatahome.com:9090/ACS-server/ACS
    
     ACS用户名从hgw改为hgw-disabled
    
     连接请求用户名从itms改为itms-disabled
  2. 设置DDNS服务,以便在外网访问家庭内网功能,如开在路由器上的喂屁恩,aicloud等等。
  3. 配合第二点还需要设置相应的端口转发。我为了方便直接设置DMZ主机到下层路由器。
  4. 关闭光猫上默认开启的各种插件,以降低光猫的负载,防止光猫死机(之前偶尔发生过光猫死机的情况)。但是设置页面里也无法直接设置插件的开启和关闭,具体办法在后文里会提到。

对光猫系统文件的研究

参考了这个文章的介绍,访问http://192.168.1.1/scsrvcntr.html打开 telnet服务,然后就可以telnet进这台光猫了(默认用户名和密码都是telnetadmin)。
输入

?:

就可以看到所有可用的命令。

输入

linuxshell

就可以使用shell命令了,比如看看整个系统的文件结构啥的。
我在/usr/S304/cpk/httpd/MyPlugin/webs这个目录里发现了一些隐藏的设置页面:

http://192.168.1.1/backupsettings.html 导出配置页面
http://192.168.1.1/updatesettings.html 导入配置页面
http://192.168.1.1/scsrvcntr.html 服务访问控制,用来开关telnet,ssh,FTP等服务
http://192.168.1.1/factorymode.html 工厂模式页面,可修改MAC等参数,还可以修改不同省份的设置
http://192.168.1.1/test_version.html 版本信息页面
http://192.168.1.1/dumpmdm.cmd 版本信息页面,超密也在里面
http://192.168.1.1/switchmode.html 不知道干啥用
http://192.168.1.1/factoryswitch.html 在工厂模式和出厂模式之间切换
http://192.168.1.1/ftpcfg.html FTP服务器高级设置
http://192.168.1.1/wan_terminal.html 修改无线设备连接数限制
http://192.168.1.1/ipp_setup.html 启动打印机服务
http://192.168.1.1/pluginManage.html 插件管理页面,停了迅雷插件之后系统负载明显下降,未再发生过光猫卡死的现象
http://192.168.1.1/cttr69cfgenable.html 上文说到的TR069服务认证信息的设置页面,没有灰色输入框的限制
http://192.168.1.1/ctwancfgenable.html 连接设置页面,没有灰色输入框的限制。

相关的资源

  1. 下载到了这个光猫的开发文档,这个光猫在中兴内部的代码是S304。很有意思的是开发文档里还有各位开发者阶段性的工作小结,读起来不禁让人会心一笑。
  2. 网上也有中国电信在招标时对E8-C设备的招标要求–中国电信家庭网关(e8)技术要求。读了这个文档也理解了这个光猫的所有功能。
  3. 各种参考链接。
    https://www.chiphell.com/thread-1690148-1-1.html
    http://www.chinadsl.net/thread-126463-1-1.html
    http://www.bijishequ.com/detail/264857
    http://koolshare.cn/thread-15347-1-1.html

 

Tags: ,

Trackback from your site.

Leave a comment