|
|
本帖最后由 lele25454 于 2023-10-6 15:13 编辑
运营商新装的光猫SK-D743S
没注册成功前默认超密随便登录,注册完直接密码错误,安装人员也不知道。
本着不作死就不会死的,搞坏了有人兜底
论坛找来的经验,普通用户登陆进去修改访问连接为192.168.1.1/start.ghtml,登陆失败
重启页面,F12,也发现了telnet的开关,显示立即生效,但是实质无用
----------------------------------------------------------------------------------------------------------------------------------
目前有3个方法
一,直接访问http://192.168.1.1/bridge_route.gch,改桥接,网页图片还是显示中国电信,不影响。部分朋友反应后期会被还原,遂放弃。不愿折腾的朋友可以直接修改
二,暴力拆解,ttl
参考https://www.right.com.cn/forum/thread-8290103-1-1.html的SK-D742型号,也是底部四个脚垫。避免留痕迹,热风枪吹下,吹风机也行,拆下螺丝,撬开上盖就可以了
这里忘记拍照了,参看帖子图片即可
区别是https://www.right.com.cn/forum/thread-8290103-1-1.html的SK-D742型号,图片中两排4pin焊孔并列排布不好区分
而SK-D743S,是2个4pin焊孔,间隔的很远
孔位阵脚定义板子标注很清楚,接上rx,tx,gnd就行,别接vcc。
另一排焊孔写的很清楚boot,boot1.类似于小米那种双系统路由,应该是双系统选择开关跳线。忽略这里即可。
TTL直接连接, 无需在意屏幕滚动,直接输入
#调出光标
#用户名
#密码
屏幕显示如下即登陆成功
- login[1030]: root login on 'ttyAMA0'
- root@skyworth:~ #
都是在跑码中途执行命令,直接输入即可。注意在看到lan1灯第二次亮起后尽快输入,启动到最后可能会拒绝输入,只能重启再来
命令如下
#打开telnet enable
- sidbg 1 DB set TelnetCfg 0 TS_Enable 1
- sidbg 1 DB set TelnetCfg 0 Lan_Enable 1
- sidbg 1 DB set DevAuthInfo 0 Pass aDm8H%MdA
- sidbg 1 DB set FTPUser 0 Location /
#保存
#重启
需要什么命令,输入回车即可,保存重启后生效
三,网页开启ttl
感谢论坛的朋友
普通用户登录后,开启隐藏telnet开关无效,必须用超级管理员登录开启才有效
但是都可以超级管理员登陆了,还开启telnet做什么。。。。。。。
方法如下,适合需要调整其他参数的朋友
首先,普通用户登录进去,记录此处的vlan的id为4031(此步可以不操作,只是防止后期注册失败备用)
然后联系宽带师傅查询到宽带注册码(这个就需要自行协商,我当初安装时特意要了注册码,至少注册码比超级密码好拿到手)
接着牙签捅光猫复位键,最少20秒!前20秒光猫指示灯闪烁都是同一个节奏,20秒后变了,只有节奏变了才彻底恢复默认值。
通过网页登录恢复的默认值不能恢复到未注册状态,且此款光猫改网页元素没找到完全恢复的按钮。
复位后直接用默认的管理员账号密码登录CMCCAdmin/aDm8H%MdA,登陆进去以后访问这个页面
http://192.168.1.1/web/cmcc/gch/ ... vance_setting_t.gch
在【重启开关】这个按钮按F12打开网页调试
找到这里的<div id="TR_Telnet" style="display: none;">,把display: none,删掉,按下回车,网页隐藏的telnet开关选项就显示出来,勾选即可打开telnet
此时可以去注册光猫了,使用注册码注册即可,顺利的话直接注册成功
如果不顺利,注册卡30%,40%,等了很久无效,重启也无效的,可以直接去光猫里面删掉tr069的连接,建立桥接的连接
vlan就是之前获取的vlan,路由器直接拨号即可上网。
注册只要过了30%就可以拨号上网,只是没有对应参数而已,不影响使用
注册的话貌似服务器有拉黑机制,短期频繁注册,无法注册成功,等一周却可以了。。。。。
二次注册,即使注册成功,管理员账号密码也不会被修改,不知原因
telnet登陆后执行的代码与ttl登录后执行的一致,按需执行
telnet的登录信息,目前已知的有2套
root账户登录
普通权限密码是wifi的密码(路由器背面pkg2m7y8a)+管理员密码默认密码(aDm8H%MdA)
即密码是pkg2m5ynaDm8H%MdA
显示这样代表登陆成功
接着输入su提权,提升到管理员级别
显示
即最高权限登录,可以执行需要的命令,命令参考ttl下登陆之后的命令
admin账户登录
普通权限密码是设备的sn,设备背面也有记录,找了很久才找到
注意密码是SKYWAXXXXX27,短线前面的不需要,且网页复制sn时,最后一位字母后面有个多余的空格,不要复制到空格
登陆进去后和之前一样,输入su提权
密码是默认的超级管理员密码aDm8H%MdA
下面几条命令按需执行,不是必须
#查看超级密码
sidbg 1 DB decry /userconfig/cfg/db_user_cfg.xml #解密文件
cat /tmp/debug-decry-cfg | grep Pass #筛选出Pass的行
cat /tmp/debug-decry-cfg #查看配置文件
这里看到自动下发的超密CMCCAdmin#r1Uq3Xu,有需要的朋友可以尝试,不保证有用
#TTL传输文件到电脑:开启sftp,注意关闭防火墙(电脑网口直连lan1,ip设置为192.168.1.2。启动tftp)
ping 192.168.1.2 #测试连接状态
tftp -p -l debug-decry-cfg 192.168.1.2 #传输文件debug-decry-cfg到192.168.1.2
关闭几个移动插件自启的命令,貌似执行完毕无效果,依旧可以看到移动插件运行记录
sidbg 1 DB set CMCCBundleInfo 0 AutoStart 0 #关闭andlink开机自启
sidbg 1 DB set CMCCBundleInfo 1 AutoStart 0 #关闭cmccdpi开机自启
sidbg 1 DB set CMCCBundleInfo 2 AutoStart 0 #关闭appcore开机自启
有朋友知道如何卸载jar包?或者禁止jar开机启动的嘛?
----------------------------------------------------------------------------------------------------------------------------------
再说下FTP
账号密码都是useradmin
登陆后文件列表空白,插入u盘后可以看到u盘挂载路径及文件
但是看不到其余的额外的系统文件
后来备份出来cfg配置文件,发现ftp路径被强制指向了/mnt
因为本来就没有文件,自然空白
ttl下执行此条命令
#修改FTP默认路径到根目录
- sidbg 1 DB set FTPUser 0 Location /
重启后即可看到所有文件
----------------------------------------------------------------------------------------------------------------------------------
顺道说下sidbg 1 DB set FTPUser 0 Location /这种命令用法和原理
#sidbg/sendcmd 命令解释 光猫的配置是用数据库命令行 sendcmd 管理的
#中兴的sendcmd已经改名为sidbg,功能还是一样的
如果之前有用tftp或者修改了ftp路径拿到debug-decry-cfg文件,可以看到所有的配置
比如
<Tbl name="TelnetCfg" RowCount="1">
<Row No="0">
<DM name="TS_Enable" val="1"/>
<DM name="Wan_Enable" val="0"/>
<DM name="Lan_Enable" val="1"/>
<DM name="TS_Port" val="23"/>
<DM name="TS_UName" val="root"/>
<DM name="TS_UPwd" val="aDm8H%MdA"/>
<DM name="Max_Con_Num" val="5"/>
<DM name=" rocType" val="0"/>
<DM name="Lan_EnableAfterOlt" val="1"/>
<DM name="WanWebLinkToTS" val="0"/>
<DM name="rocFlag" val="0"/>
<DM name="TSLan_Port" val="23"/>
<DM name="TSLan_UName" val="root"/>
<DM name="TSLan_UPwd" val="aDm8H%MdA"/>
<DM name="TS_Sprtwl_Mode" val="0"/>
</Row>
</Tbl>
再比如
<Tbl name="TelnetUser" RowCount="2">
<Row No="0">
<DM name="ViewName" val="IGD.TelnetUser1"/>
<DM name="Username" val="CMCCAdmin"/>
<DM name="assword" val="aDm8H%MdA"/>
<DM name="Type" val="LAN"/>
</Row>
<Row No="1">
<DM name="ViewName" val="IGD.TelnetUser2"/>
<DM name="Username" val="CMCCAdmin"/>
<DM name="assword" val="aDm8H%MdA"/>
<DM name="Type" val="WAN"/>
</Row>
</Tbl>
又比如
<Tbl name="FTPUser" RowCount="1">
<Row No="0">
<DM name="ViewName" val="IGD.FTPUser1"/>
<DM name="Username" val="useradmin"/>
<DM name="assword" val="useradmin"/>
<DM name="LanUsername" val="useradmin"/>
<DM name="LanPassword" val="useradmin"/>
<DM name="Location" val="/mnt"/>
<DM name="UserRight" val="3"/>
</Row>
</Tbl>
语法格式是
set [Tbl name][Row No][DM name][val]
所以修改ftp路径命令是
- sidbg 1 DB set FTPUser 0 Location /
以此类推即可,注意这里的0是Row No的值,而不是RowCount的值。RowCount的值是Row No表的总数,从1开始计数.Row No是表的序号,从0开始计数
----------------------------------------------------------------------------------------------------------------------------------
最后是网页源代码
FTP进去,进入路径可以看到源代码
普通用户登陆进去,路径被指向/web/cmcc/gch/main.gch
管理员登陆进去直接当前目录文件
参看
<Tbl name="DevAuthInfo" RowCount="6">
<Row No="0">
<DM name="ViewName" val="IGD.AU1"/>
<DM name="Enable" val="1"/>
<DM name="AppID" val="1"/>
<DM name="User" val="CMCCAdmin"/>
<DM name="ass" val="aDm8H%MdA"/>
<DM name="Level" val="1"/>
<DM name="Extra" val=""/>
<DM name="ExtraInt" val="0"/>
</Row>
<Row No="1">
<DM name="ViewName" val="IGD.AU2"/>
<DM name="Enable" val="1"/>
<DM name="AppID" val="1"/>
<DM name="User" val="user"/>
<DM name="ass" val="ARgyFt6?"/>
<DM name="Level" val="2"/>
<DM name="Extra" val=""/>
<DM name="ExtraInt" val="0"/>
</Row>
直接用
- sidbg 1 DB set DevAuthInfo 1 Level 1
把普通用户权限修改为管理组,但是可能会有未知问题,所以没动
有看到telnet.gch文件,桥接配置页面和其他几个隐藏的开关文件
telnet.gch文件代码如下
- <%
- if(getenv("ponmode")== "XGPON")
- {
- IMPORT FILE "common_gch.gch";
- var URL=getenv("REDIRECT_SCRIPT");
- var usr,psw,cmd;
- var start;
- var end;
- var flag = 0;
- start = strstr(URL, 0, "=");
- if (start > 0)
- {
- usr = substr(URL, 0, start);
- if(usr == "usr"){
- end = strstr(URL, 0, "&");
- }
- else {
- flag = -1;
- }
- usr = substr(URL, start+1, end);
- }
- start = strstr(URL, end, "=");
- start = start +end;
- if (start > 0)
- {
- psw = substr(URL, end+1, start);
- if(psw == "psw"){
- end = strstr(URL, start, "&");
- end = end +start;
- }
- else {
- flag = -1;
- }
- psw = substr(URL, start+1, end);
- }
- start = strstr(URL, end, "=");
- start = start +end;
- if (start > 0)
- {
- cmd = substr(URL, end+1, start);
- if(cmd == "cmd"){
- end = strstr(URL, start, "&");
- end = end +start;
- }
- else {
- flag = -1;
- }
- cmd = substr(URL, start+1, end);
- }
- log_gch("****************************usr="+usr+" psw="+psw+" cmd="+cmd);
- if(cmd != "0" && cmd != "1")
- {
- flag = -1;
- }
- if(flag == 0){
- var FP_OBJNAME = "OBJ_USERINFO_ID";
- var FP_HANDLE = create_paralist();
- get_inst(FP_HANDLE, FP_OBJNAME, "IGD.AU1");
- var userAdmin = get_para(FP_HANDLE, "Username");
- var passAdmin = get_para(FP_HANDLE, "Password");
- destroy_paralist(FP_HANDLE);
- FP_HANDLE = create_paralist();
- get_inst(FP_HANDLE, FP_OBJNAME, "IGD.AU2");
- var userUser = get_para(FP_HANDLE, "Username");
- var passUser = get_para(FP_HANDLE, "Password");
- destroy_paralist(FP_HANDLE);
- log_gch("****************************usr="+usr+" psw="+psw+" cmd="+cmd);
- switch(usr){
- case "CMCCAdmin":
- case userAdmin:
- log_gch("****************************usr="+usr+" psw="+psw+" cmd="+cmd);
- if((psw != "aDm8H%MdA" && psw != passAdmin)){
- flag = -1;
- }
- break;
- case userUser:
- if(psw != passUser){
- flag = -1;
- }
- break;
- default:
- flag = -1;
- }
- if(flag == 0){
- var FP_HANDLE = create_paralist();
- set_para(FP_HANDLE,"TS_Enable",cmd);
- set_para(FP_HANDLE,"Wan_Enable",0);
- set_para(FP_HANDLE,"Lan_Enable",0);
- set_inst(FP_HANDLE, "OBJ_TSERVER_CONF_ID", "IGD.AU1");
- undoDBSave();
- }
- }
- }
- %>
- <%
- if(getenv("ponmode") == "XGPON")
- {
- if(0 == flag){
- %>
- <HTML>
- <HEAD><TITLE>TelnetSet</TITLE></HEAD>
- <BODY BGCOLOR="#FFFFFF" TEXT="#000000" LINK="#2020ff" VLINK="#4040cc">
- <H2>TelnetSet Success!</H2>
- </BODY>
- </HTML>
- <%
- }
- else {
- %>
- <HTML>
- <HEAD><TITLE>TelnetSet</TITLE></HEAD>
- <BODY BGCOLOR="#FFFFFF" TEXT="#000000" LINK="#2020ff" VLINK="#4040cc">
- <H2>Sorry,Your input is error,please Check!</H2>
- </BODY>
- </HTML>
- <%
- }
- }
- %>
代码没看懂,貌似有可以触发直接开启TEL的办法
注意这一行
- log_gch("****************************usr="+usr+" psw="+psw+" cmd="+cmd);
httpd目录所有文件我拷贝出来了,这里下载
https://www.123pan.com/s/inGUVv-KzHFd.html
啰嗦了这么多,就是想如何实现简单的不拆机破解,和tel登录,给后来人铺路
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
评分
-
查看全部评分
|
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡
