中兴F4610U V1.2.0P1T2 获取超密&开启telnet流程自述

Amazefcc233 · 发表于 2023-9-23 01:43

本帖最后由 Amazefcc233 于 2023-9-25 15:30 编辑

本人上海联通给的F4610U的软件版本为V1.2.0P1T2（以下简称T2），由于怀疑被官方更改过限制，所以想尝试进入管理端。奈何cu.html进入后，默认密码CUAdmin提示不正确，因此需要进入telnet去获取。
使用蚂蚁大佬的自动获取工具（https://www.right.com.cn/forum/thread-8286517-1-1.html），提示为新版本固件，需要知道正确密码才可登录，这下只有重置光猫这一条路走了。

但为了防止T2重置以后没法正常使用，出于备份考虑，在小黄鱼上又买了台F4610U（现在想想，直接换个型号效果应该是更好）。到手后发现软件版本为V1.2.0P1T1（以下简称T1）。在未说开始接入光纤之前，不可以接入，防止因为自动下发配置导致出现问题。直接进入cu.html发现默认密码正确，也可进入telnet，于是乎第一步就是先固定T1的telnet。完成后，用户名将变为root，密码将变为Zte521。操作前建议先截图保存原始信息。
（代码中#后方的全部是注释，不用输入）

sendcmd 1 DB p TelnetCfg
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1
sendcmd 1 DB set TelnetCfg 0 TS_UName root
sendcmd 1 DB set TelnetCfg 0 TS_UPwd Zte521
sendcmd 1 DB set TelnetCfg 0 TSLan_UName root
sendcmd 1 DB set TelnetCfg 0 TSLan_UPwd Zte521
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 99
sendcmd 1 DB set TelnetCfg 0 ExitTime 999999
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3
sendcmd 1 DB set TelnetCfg 0 CloseServerTime 9999999
sendcmd 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1
sendcmd 1 DB save
reboot # 重启一下，记得不要连光纤

复制代码

正常来说，应该在这一步开始就登入管理端，并且使用U盘备份T1的配置文件的。U盘有格式要求，实测支持FAT，不支持exFAT，其余格式请自测。但这一步我放到了T1全部弄完了以后再去备份的，导致可能会多出来某些隐私或者垃圾信息，这点在最后再叙述。

因为无法确定上海联通的注册验证方式，最后选择了使用setmac指令将sn、mac、loid等一系列内容能搬的全部搬过去。操作前建议先截图保存原始信息。

setmac 2 xxx # 查看对应id号的信息
setmac show # 查看所有的信息
setmac 1 id xxx # 设置对应id的信息

复制代码

显示setmac success即为成功。

全部完成后，重启并断电，现在可以插上光纤试试看有没有网了。发现网络连接正常，那就完全ok。
再试着进入cu.html，提示密码错误。果然是下发的时候已经更改了超密，这下连入telnet，上工具。

进入userconfig/cfg/目录后，使用以下代码备份并解密原始数据，工具来源于会飞の鱼大佬，可以看https://www.right.com.cn/forum/thread-8284736-1-1.html。

# 光猫telnet端，确认本地已打开tftp，ip地址自己按实际改
tftp -p -l userconfig/cfg/db_user_cfg.xml -r db_user_cfg.xml 192.168.1.2
# 本地端
.\ztecfg.exe -d AESCBC -i .\db_user_cfg.xml -o break.cfg

复制代码

使用编辑器打开break.cfg，搜索CUAdmin相关，发现在DevAuthInfo表中，密码已被修改，后面加了随机8位数字。使用此密码可正常进入后台。

那既然它爱改，就不让它改就好。把MgtServer表里面的地址上报改为127.0.0.1，并且关闭tr069。

sendcmd 1 DB p MgtServer
sendcmd 1 DB set MgtServer 0 URL http://127.0.0.1
sendcmd 1 DB set MgtServer 0 Tr069Enable 0
sendcmd 1 DB save

复制代码

重启完成后，发现密码没有再被改动，网络连接也没问题，大成功。至此，T1的控制权已经完全掌握在我们的手上了。

那么是时候研究T2了。一股脑拿牙签，按着重置键就戳，等到重置完成，使用默认超密也能直接登进去，特别好。但使用蚂蚁大佬的telnet开启工具后，显示连接超时。
使用nmap查看端口情况，发现23被filtered了，大抵是在出厂阶段，telnet连接就已经被disable掉了。
这时候就用到刚刚u盘备份的配置了。通过还原配置之后，惊奇地发现telnet被解开了。使用nmap再次检测，发现23状态已变为ok，并且账号密码和在T1上我们固化的一毛一样。
但有一个问题就是，光猫默认的wifi名、密码、普通用户密码等等信息也同步被修改了（但机器的sn、mac、loid信息不会同步，其余信息未测试）。如果需要的话，需要自己去手动修改这些信息。特别注意默认用户的密码无法在管理端修改，只能在telnet里使用sendcmd的方法强制操作，具体方法和之前的指令基本照着抄就行，语法一样的。

后面的步骤就是和之前一样，重复获取db_user_cfg.xml并且再次解密，获取管理端密码。然后进行配置，并且禁用掉tr069。再把T2换回去，圆满结束。

== 2023.09.25更新 ==
F4610U的T1版本的备份文件如下，压缩包内readme.txt已含有注意事项。

ctce8_F4610U-C.zip (30.7 KB, 下载次数: 108, 售价: 1 nb恩山币)
F7610U的在本贴六楼有大佬已贴出文件，在此表示感谢。个人未进行测试，欢迎讨论并反馈信息。
b站有大佬反馈说T3版本该方法无效，因个人没有方法测试，也欢迎大家积极讨论并反馈信息。
==========

# 碎碎念

个人推测的话，其实u盘所备份下来的ctce8_F4610U-C.cfg数据，和db_user_cfg.xml内容实际应该一致。因为loid等等信息并非写在db_user_cfg.xml之中，因此不会被同步。并且，由于PDTCTUSERINFO的信息是在xml之中的，所以同步过来的时候，loid的配置状态也会被一并复制过来。可惜的是，xml和cfg的加密方法应该有所不同，通过暴力使用hex editor，发现两者数据完全不一致（也可能是我方法有误），最后结果是cfg使用什么算法都报错，网上找到其他解密程序也提示头文件错误，所以只能作为一个猜测了，没法确凿。
另外，由于cfg的备份是我在T1全部操作完成的情况下弄的，但可能已有隐私数据包含在其中，因此暂时无法分享。哪天要是我闲的没事把T1重置了，并且还能顺利进入到telent去改完设置并且备份的话，说不定还能直接把cfg分享出来，但现在一时半会是没办法了。花了一点时间，尝试清除了一波数据，已经上传了。
家里现在还在用着电信的F450G，虽然说型号不同，但使用cmd固化telnet并禁用tr069的这个操作可谓是一模一样，还是有点参考意义在的。

拉侧旋 · 发表于 2023-9-23 06:59

中兴光猫玩习惯了确实方便
就是zx279这种发热确实大

kidcydia · 发表于 2023-9-23 08:18

谢谢分享，也就说t2版本的不用刷机降级了只需导入t1的配置文件也能开telnet 这下卖刷机的又要骂骂咧咧的了…

sosbacdes · 发表于 2023-9-23 08:51

感谢分享

mayi5147 · 发表于 2023-9-23 11:16

哈哈哈哈已经提取了T1的分区准备找L大合成的结果看到了这帖子~！

southernboy · 发表于 2023-9-23 18:37

忆开telnet备份

yokelis · 发表于 2023-9-25 10:22

感谢分享，请问哪位大佬能否帮忙分享个T1版的配置，我的T2就是telnet连接失败，试下楼主这个方法能不能行，用楼上的7610的备份恢复不了，没反应

18521517002 · 发表于 2023-9-25 11:23

tftp -p -l userconfig/cfg/db_user_cfg.xml -r db_user_cfg.xml 192.168.1.2 显示超时是tftp: timeout

Amazefcc233 · 发表于 2023-9-25 14:28

18521517002 发表于 2023-9-25 11:23
tftp -p -l userconfig/cfg/db_user_cfg.xml -r db_user_cfg.xml 192.168.1.2 显示超时是tftp: timeout ...

确认本地已打开tftp，ip地址自己按实际改

本机的ip用ipconfig自己看看

Amazefcc233 · 发表于 2023-9-25 15:31

yokelis 发表于 2023-9-25 10:22
感谢分享，请问哪位大佬能否帮忙分享个T1版的配置，我的T2就是telnet连接失败，试下楼主这个方法能不能行， ...

F4610U T1版本的配置已经提取出来啦，可以试试看

yokelis · 发表于 2023-9-25 23:28

Amazefcc233 发表于 2023-9-25 15:31
F4610U T1版本的配置已经提取出来啦，可以试试看

非常感谢大佬提供的，测试很好用，直接telnet登录就可以了

znf0048 · 发表于 2023-9-26 23:30

权限有问题

znf0048 · 发表于 2023-9-26 23:30

/bin/sh: Access Denied.

Amazefcc233 · 发表于 2023-9-27 13:08

znf0048 发表于 2023-9-26 23:30
/bin/sh: Access Denied.

具体说一下哪边会有这种权限的问题，我自己这里没遇到过

znf0048 · 发表于 2023-9-27 14:23

https://www.right.com.cn/forum/thread-8163087-1-1.html
我参照这个帖操作，用了永久用户进入telnet下，很多操作命令都是提示：/bin/sh: Access Denied.

账号		自动登录	找回密码
密码			立即注册

中兴F4610U V1.2.0P1T2 获取超密&开启telnet流程自述

相关帖子

点评

点评

点评

点评

点评

点评

欢迎大家光临恩山无线论坛 /1