移动光猫H60G获取超级密码、开telnet、改桥接、改地区、禁用TR069等教程完整版

懒***

发现有部分坛友有使用此光猫，结合其他坛友教学和自己破解经历发布此教程。（在此感谢坛子里另一张帖子https://www.right.com.cn/forum/thread-5475669-1-1.html的教程给了我很多启发（不完整），另外感谢一个坛友，加了他QQ，帮我解密了文件）


最近家里免费送了个移动宽带100M，并免费送了监控，机顶盒。本人就拿来监控用。送的光猫是H60G，名称叫吉比特无源光纤，型号：H60G。经了解，采用是中兴CPU。4个千兆口，关键是小巧可爱，放弱电箱也不错。

教程如下：
1、使用光猫背后标签的 user 账号登录光猫 记录下vlan值和password值（移动的认证用的是password值即可），如下图（我的截图是用超级管理员登录的，可能和user的不太一样，这里不用担心，user登录都可以看到的）：

2、拔掉光纤，拿牙签捅光猫后面的reset孔，不要松掉，看光猫表面，绿灯全亮一次（不能松），等待几秒后绿灯全亮两次后松开（此款光猫就是这样，一共亮三次后才算完全恢复出厂设置，一次是重置而已）。
3、电脑用网线直连光猫LAN口（因为此款光猫无wifi）。
4、使用移动默认超级用户登录，
账号：CMCCAdmin
密码：aDm8H%MdA
建议用复制，区分大小写。
登录后别急着操作，点击--安全--telnet配置--勾选启用WAN侧telnet--勾选启用LAN侧telnet--记录下用户名、密码（也可自定义，我这里用默认的），点击确定。如下图：


5、右上角退出登录--插上光纤--选择设备注册--输入第一步记录下的password值--下发数据，如下图（因为我已经注册，截不到图，哈哈哈）：

6、等待下发数据完成，管理员密码自然变成随机了，用默认超级用户肯定进不去，这时候我们走telnet操作。
7、开始--运行（没有就Windows键+R）--cmd--弹出命令行窗口--输入：telnet 192.168.1.1（回车）（出现telnet不是内部或外部命令的，自己手机百度下怎么开启telnet客户端，小白操作经常问这个问题）
8、输入telnet用户名（第四步记录的）（回车）--输入密码（第四步记录的，输入的时候不会显示的）（回车）--标识符变成“~$”了--输入：su（回车）--输入密码（这时候的密码就是移动本身超级用户的密码：aDm8H%MdA，输入时还是不显示，特别注意大小写，注意大小写，注意大小写！！！说三遍，因为不会显示，很多输入不成功的）（回车）--标识符变成“/#”--这时候就提权成功了，如下图：

9、输入：

1. sidbg 1 DB p DevAuthInfo

复制代码

弹出一列，其中有包括user、CMCCAdmin、等账号，但你会发现很多**********，根本就看不出来，如下图：

10、不怕，我们敲入以下代码（一行回车一次）：
修改管理员超级账号为 CMCCAdmin (可自定义)

1. sidbg 1 DB set DevAuthInfo 0 User CMCCAdmin

复制代码

修改管理员超级账号的密码 aDm8H%MdA (可自定义)

1. sidbg 1 DB set DevAuthInfo 0 Pass aDm8H%MdA

复制代码

操作后，直接直接用你刚刚修改的超级用户和密码网页端登录192.168.1.1，登录成功！！！
11、改桥接，改桥接应该不用我多说什么了吧？可以参照本帖子开头另外以为坛友的链接去修改，禁用TR069在灰色按钮（使能，确定，取消都有可能有）处--右键选择审查元素（或者检查）进入开发者模式，弹出的右侧代码中的disable值双击改为enable，你会发现网页可以点击了（设置好后再进行），另外宽带账号和密码可以找客服拿（一般为手机号，密码有的是手机后六位，有的是随机，有的是服务密码，这些都可以打10086重置的）。
11、改地区，回到第十步，此版本光猫应该有很多省份有用，在telnet下输入：

1. /etc/init.d/regioncode

复制代码

查看省份信息，每个省份都有相应的序号。
输入：

1. upgradetest sdefconf 序号

复制代码

我这里列出省份（不知道会不会不一样）仅做参考，以你实际查出来为准。

1. upgradetest sdefconf 0（通用
   
2. upgradetest sdefconf 200（江苏
   
3. upgradetest sdefconf 201（新疆
   
4. upgradetest sdefconf 202（海南
   
5. upgradetest sdefconf 203（天津
   
6. upgradetest sdefconf 204（安徽
   
7. upgradetest sdefconf 205（上海
   
8. upgradetest sdefconf 206（重庆
   
9. upgradetest sdefconf 207（北京
   
10. upgradetest sdefconf 208（四川
    
11. upgradetest sdefconf 209（山东
    
12. upgradetest sdefconf 210（广东
    
13. upgradetest sdefconf 211（湖北
    
14. upgradetest sdefconf 212（福建
    
15. upgradetest sdefconf 214（浙江
    
16. upgradetest sdefconf 215（陕西
    
17. upgradetest sdefconf 216（湖南
    
18. upgradetest sdefconf 217（云南
    
19. upgradetest sdefconf 218（西藏
    
20. upgradetest sdefconf 219（黑龙江
    
21. upgradetest sdefconf 220（贵州
    
22. upgradetest sdefconf 221（山西
    
23. upgradetest sdefconf 222（河北
    
24. upgradetest sdefconf 223（宁夏
    
25. upgradetest sdefconf 224（广西
    
26. upgradetest sdefconf 225（江西
    
27. upgradetest sdefconf 226（甘肃
    
28. upgradetest sdefconf 227（青海
    
29. upgradetest sdefconf 229（辽宁
    
30. upgradetest sdefconf 230（吉林
    
31. upgradetest sdefconf 231（内蒙
    
32. upgradetest sdefconf 232（河南

复制代码

12、关于配置文件，此款光猫不同于其他款光猫，他的配置文件大小达到400+KB，用坛子上的一些软件是不能解密的。拷贝出来的是只读形式，具体我也不懂怎么解密。我不建议将配置文件导出去解密，因为配置文件里面包含了太多光猫用户信息了。但还是教程怎么导出解密文件吧。
U盘插入光猫后面的USB口，在telnet下输入：

1. ls /mnt

复制代码

查看U盘文件夹名称，比如我的U盘是usb1_1

1. cp /userconfig/cfg/db_backup_cfg.xml /mnt/usb1_1/1111.xml

复制代码

这里的1111.xml可以自定义，这样配置文件就导出到U盘了。（至于怎么解密就不用找我了，因为我们上面本身就可以改超级密码了，这个步骤显得多余）
实在要查看，其实完全可以通过命令实现
开启解密命令

1. sidbg 1 DB decry /userconfig/cfg/db_user_cfg.xml

复制代码

查看密码（部分无法查看可以用vi命令）

1. cat /tmp/debug-decry-cfg | grep Pass

复制代码

或

1. vi /tmp/debug-decry-cfg

复制代码

或

1. vi /tmp/db_user_cfg.xml

复制代码

键盘向下光标键可以一直按着解密查看，直到找到你所需要账户信息的位置。
13、一些相关命令（没事瞎折腾）
普通用户提权

1. sendcmd 1 DB set DevAuthInfo 1 Level 1

复制代码

1. sendcmd 1 DB save

复制代码

修改TELNET账号   改为 root (可自定义)

1. sidbg 1 DB set TelnetUser 0 Username root

复制代码

修改TELNET密码  改为 admin (可自定义)

1. sidbg 1 DB set TelnetUser 0 Password admin

复制代码

14、一些用F12大法（开发者模式）禁用的TR069可能不是完全生效的（我也不知道如何发现，虽然网页显示禁用，实际后台不知道确定禁用成功与否，说是itme仍然正常上报），这里推荐个有效的。在telnet下输入：

1. sendcmd 1 DB set WANC 0 Enable 0

复制代码

1. sendcmd 1 DB save

复制代码

1. reboot

复制代码

光猫就重启了，这里不建议尝试，我也没试（非专业人士）。



到此，教程结束。一些命令其实光猫是中兴CPU的都是通用的。现在很多代工的光猫都用中兴的U。
祝大家早日桥接成功！！！

超逸***

我家是电信的光猫，中兴万兆的那种。

xwd147***

感谢分享

懒***

超逸绝尘 发表于 2022-6-7 23:49
我家是电信的光猫，中兴万兆的那种。

电信的更简单，直接用小翼管家大法。轻松获取超密。

16021***

牛1122212222

a330***

厉害了！！

mrqia***

看看，好像很高级的样子。。。

429***

感谢分享  谢谢谢写

muwa***

好文  似乎发晚了 我决定放弃折腾了

Wggg***

移动不是动态的吗

乐乐***

感谢分享！

Wggg***

为毛app显示敲入以下命令后面就空白，要用网页看才有命令的代码

BL1***

感谢分享，不过我是联通的，打电话要公网改桥接了。

cs***

我的是h30

diy***

这个很需要