找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
广告投放联系QQ68610888广告投放联系QQ68610888
查看: 8964|回复: 23

[创维] 创维光猫SK-D743S河南移动桥接获取超密及tel密码,ftp路径,网页gch源代码

[复制链接]
发表于 2023-10-4 10:02 | 显示全部楼层 |阅读模式
本帖最后由 lele25454 于 2023-10-6 15:13 编辑

运营商新装的光猫SK-D743S
没注册成功前默认超密随便登录,注册完直接密码错误,安装人员也不知道。
本着不作死就不会死的,搞坏了有人兜底

论坛找来的经验,普通用户登陆进去修改访问连接为192.168.1.1/start.ghtml,登陆失败
重启页面,F12,也发现了telnet的开关,显示立即生效,但是实质无用



----------------------------------------------------------------------------------------------------------------------------------


目前有3个方法

一,直接访问http://192.168.1.1/bridge_route.gch,改桥接,网页图片还是显示中国电信,不影响。部分朋友反应后期会被还原,遂放弃。不愿折腾的朋友可以直接修改

二,暴力拆解,ttl


参考https://www.right.com.cn/forum/thread-8290103-1-1.htmlSK-D742型号,也是底部四个脚垫。避免留痕迹,热风枪吹下,吹风机也行,拆下螺丝,撬开上盖就可以了
这里忘记拍照了,参看帖子图片即可
区别是
https://www.right.com.cn/forum/thread-8290103-1-1.htmlSK-D742型号,图片中两排4pin焊孔并列排布不好区分
而SK-D743S,是2个4pin焊孔,间隔的很远
孔位阵脚定义板子标注很清楚,接上rx,tx,gnd就行,别接vcc。
另一排焊孔写的很清楚boot,boot1.类似于小米那种双系统路由,应该是双系统选择开关跳线。忽略这里即可。
TTL直接连接, 无需在意屏幕滚动,直接输入


#调出光标
  1. 回车
复制代码

#用户名
  1. root
复制代码

#密码
  1. aDm8H%MdA
复制代码

屏幕显示如下即登陆成功
  1. login[1030]: root login on 'ttyAMA0'
  2. root@skyworth:~ #
复制代码


都是在跑码中途执行命令,直接输入即可。注意在看到lan1灯第二次亮起后尽快输入,启动到最后可能会拒绝输入,只能重启再来

命令如下
#打开telnet enable
  1. sidbg 1 DB set TelnetCfg 0 TS_Enable 1
复制代码
#打开LAN 口telnet
  1. sidbg 1 DB set TelnetCfg 0 Lan_Enable 1
复制代码
#直接修改超级密码为aDm8H%MdA
  1. sidbg 1 DB set DevAuthInfo 0 Pass aDm8H%MdA
复制代码
#修改FTP默认路径到根目录(不是必须)
  1. sidbg 1 DB set FTPUser 0 Location /
复制代码

#保存
  1. sidbg 1 DB save
复制代码
#重启
  1. reboot
复制代码

需要什么命令,输入回车即可,保存重启后生效

三,网页开启ttl

感谢论坛的朋友
普通用户登录后,开启隐藏telnet开关无效,必须用超级管理员登录开启才有效
但是都可以超级管理员登陆了,还开启telnet做什么。。。。。。。
方法如下,适合需要调整其他参数的朋友

首先,普通用户登录进去,记录此处的vlan的id为4031(此步可以不操作,只是防止后期注册失败备用)

然后联系宽带师傅查询到宽带注册码(这个就需要自行协商,我当初安装时特意要了注册码,至少注册码比超级密码好拿到手)

接着牙签捅光猫复位键,最少20秒!前20秒光猫指示灯闪烁都是同一个节奏,20秒后变了,只有节奏变了才彻底恢复默认值。

通过网页登录恢复的默认值不能恢复到未注册状态,且此款光猫改网页元素没找到完全恢复的按钮。

复位后直接用默认的管理员账号密码登录CMCCAdmin/aDm8H%MdA,登陆进去以后访问这个页面
http://192.168.1.1/web/cmcc/gch/ ... vance_setting_t.gch
在【重启开关】这个按钮按F12打开网页调试


找到这里的<div id="TR_Telnet" style="display: none;">,把display: none,删掉,按下回车,网页隐藏的telnet开关选项就显示出来,勾选即可打开telnet
此时可以去注册光猫了,使用注册码注册即可,顺利的话直接注册成功
如果不顺利,注册卡30%,40%,等了很久无效,重启也无效的,可以直接去光猫里面删掉tr069的连接,建立桥接的连接

vlan就是之前获取的vlan,路由器直接拨号即可上网。
注册只要过了30%就可以拨号上网,只是没有对应参数而已,不影响使用
注册的话貌似服务器有拉黑机制,短期频繁注册,无法注册成功,等一周却可以了。。。。。
二次注册,即使注册成功,管理员账号密码也不会被修改,不知原因
telnet登陆后执行的代码与ttl登录后执行的一致,按需执行




telnet的登录信息,目前已知的有2套
root账户登录
普通权限密码是wifi的密码(路由器背面pkg2m7y8a)+管理员密码默认密码(aDm8H%MdA)

即密码是pkg2m5ynaDm8H%MdA
显示这样代表登陆成功
  1. ~ $
复制代码

接着输入su提权,提升到管理员级别
  1. ~ $ su
复制代码
显示
  1. / #
复制代码
即最高权限登录,可以执行需要的命令,命令参考ttl下登陆之后的命令

admin账户登录
普通权限密码是设备的sn,设备背面也有记录,找了很久才找到

注意密码是SKYWAXXXXX27,短线前面的不需要,且网页复制sn时,最后一位字母后面有个多余的空格不要复制到空格
登陆进去后和之前一样,输入su提权
密码是默认的超级管理员密码aDm8H%MdA






下面几条命令按需执行,不是必须

#查看超级密码
sidbg 1 DB decry /userconfig/cfg/db_user_cfg.xml    #解密文件
cat /tmp/debug-decry-cfg | grep Pass    #筛选出Pass的行
cat /tmp/debug-decry-cfg    #查看配置文件


这里看到自动下发的超密CMCCAdmin#r1Uq3Xu,有需要的朋友可以尝试,不保证有用



#TTL传输文件到电脑:开启sftp,注意关闭防火墙(电脑网口直连lan1,ip设置为192.168.1.2。启动tftp)
ping 192.168.1.2    #测试连接状态
tftp -p -l debug-decry-cfg 192.168.1.2    #传输文件debug-decry-cfg到192.168.1.2


关闭几个移动插件自启的命令,貌似执行完毕无效果,依旧可以看到移动插件运行记录
sidbg 1 DB set CMCCBundleInfo 0 AutoStart 0    #关闭andlink开机自启
sidbg 1 DB set CMCCBundleInfo 1 AutoStart 0    #关闭cmccdpi开机自启
sidbg 1 DB set CMCCBundleInfo 2 AutoStart 0    #关闭appcore开机自启


有朋友知道如何卸载jar包?或者禁止jar开机启动的嘛?


----------------------------------------------------------------------------------------------------------------------------------

再说下FTP
账号密码都是useradmin
登陆后文件列表空白,插入u盘后可以看到u盘挂载路径及文件
但是看不到其余的额外的系统文件
后来备份出来cfg配置文件,发现ftp路径被强制指向了/mnt
因为本来就没有文件,自然空白

ttl下执行此条命令
#修改FTP默认路径到根目录
  1. sidbg 1 DB set FTPUser 0 Location /
复制代码


重启后即可看到所有文件


----------------------------------------------------------------------------------------------------------------------------------


顺道说下sidbg 1 DB set FTPUser 0 Location /这种命令用法和原理


#sidbg/sendcmd 命令解释    光猫的配置是用数据库命令行 sendcmd 管理的
#中兴的sendcmd已经改名为sidbg,功能还是一样的

如果之前有用tftp或者修改了ftp路径拿到debug-decry-cfg文件,可以看到所有的配置

比如
<Tbl name="TelnetCfg" RowCount="1">
<Row No="0">
<DM name="TS_Enable" val="1"/>
<DM name="Wan_Enable" val="0"/>
<DM name="Lan_Enable" val="1"/>
<DM name="TS_Port" val="23"/>
<DM name="TS_UName" val="root"/>
<DM name="TS_UPwd" val="aDm8H%MdA"/>
<DM name="Max_Con_Num" val="5"/>
<DM name="rocType" val="0"/>
<DM name="Lan_EnableAfterOlt" val="1"/>
<DM name="WanWebLinkToTS" val="0"/>
<DM name="rocFlag" val="0"/>
<DM name="TSLan_Port" val="23"/>
<DM name="TSLan_UName" val="root"/>
<DM name="TSLan_UPwd" val="aDm8H%MdA"/>
<DM name="TS_Sprtwl_Mode" val="0"/>
</Row>
</Tbl>

再比如
<Tbl name="TelnetUser" RowCount="2">
<Row No="0">
<DM name="ViewName" val="IGD.TelnetUser1"/>
<DM name="Username" val="CMCCAdmin"/>
<DM name="assword" val="aDm8H%MdA"/>
<DM name="Type" val="LAN"/>
</Row>
<Row No="1">
<DM name="ViewName" val="IGD.TelnetUser2"/>
<DM name="Username" val="CMCCAdmin"/>
<DM name="assword" val="aDm8H%MdA"/>
<DM name="Type" val="WAN"/>
</Row>
</Tbl>

又比如
<Tbl name="FTPUser" RowCount="1">
<Row No="0">
<DM name="ViewName" val="IGD.FTPUser1"/>
<DM name="Username" val="useradmin"/>
<DM name="assword" val="useradmin"/>
<DM name="LanUsername" val="useradmin"/>
<DM name="LanPassword" val="useradmin"/>
<DM name="Location" val="/mnt"/>
<DM name="UserRight" val="3"/>
</Row>
</Tbl>


语法格式是

set [Tbl name][Row No][DM name][val]

所以修改ftp路径命令是
  1. sidbg 1 DB set FTPUser 0 Location /
复制代码


以此类推即可,注意这里的0是Row No的值,而不是RowCount的值。RowCount的值是Row No表的总数,从1开始计数.Row No是表的序号,从0开始计数

----------------------------------------------------------------------------------------------------------------------------------

最后是网页源代码


FTP进去,进入路径可以看到源代码



普通用户登陆进去,路径被指向/web/cmcc/gch/main.gch
管理员登陆进去直接当前目录文件

参看
<Tbl name="DevAuthInfo" RowCount="6">
<Row No="0">
<DM name="ViewName" val="IGD.AU1"/>
<DM name="Enable" val="1"/>
<DM name="AppID" val="1"/>
<DM name="User" val="CMCCAdmin"/>
<DM name="ass" val="aDm8H%MdA"/>
<DM name="Level" val="1"/>
<DM name="Extra" val=""/>
<DM name="ExtraInt" val="0"/>
</Row>
<Row No="1">
<DM name="ViewName" val="IGD.AU2"/>
<DM name="Enable" val="1"/>
<DM name="AppID" val="1"/>
<DM name="User" val="user"/>
<DM name="ass" val="ARgyFt6?"/>
<DM name="Level" val="2"/>
<DM name="Extra" val=""/>
<DM name="ExtraInt" val="0"/>
</Row>


直接用
  1. sidbg 1 DB set DevAuthInfo 1 Level 1
复制代码

把普通用户权限修改为管理组,但是可能会有未知问题,所以没动


有看到telnet.gch文件,桥接配置页面和其他几个隐藏的开关文件


telnet.gch文件代码如下

  1. <%
  2. if(getenv("ponmode")== "XGPON")
  3. {
  4. IMPORT FILE "common_gch.gch";

  5. var URL=getenv("REDIRECT_SCRIPT");
  6. var usr,psw,cmd;
  7. var start;
  8. var end;
  9. var flag = 0;
  10. start = strstr(URL, 0, "=");
  11. if (start > 0)
  12. {
  13. usr = substr(URL, 0, start);
  14. if(usr == "usr"){
  15. end = strstr(URL, 0, "&");
  16. }
  17. else {
  18. flag = -1;
  19. }

  20. usr = substr(URL, start+1, end);
  21. }
  22. start = strstr(URL, end, "=");
  23. start = start +end;
  24. if (start > 0)
  25. {
  26. psw = substr(URL, end+1, start);
  27. if(psw == "psw"){
  28. end = strstr(URL, start, "&");
  29. end = end +start;
  30. }
  31. else {
  32. flag = -1;
  33. }

  34. psw = substr(URL, start+1, end);
  35. }
  36. start = strstr(URL, end, "=");
  37. start = start +end;
  38. if (start > 0)
  39. {
  40. cmd = substr(URL, end+1, start);
  41. if(cmd == "cmd"){
  42. end = strstr(URL, start, "&");
  43. end = end +start;
  44. }
  45. else {
  46. flag = -1;
  47. }

  48. cmd = substr(URL, start+1, end);
  49. }
  50. log_gch("****************************usr="+usr+" psw="+psw+" cmd="+cmd);
  51. if(cmd != "0" && cmd != "1")
  52. {
  53. flag = -1;
  54. }
  55. if(flag == 0){
  56. var FP_OBJNAME  = "OBJ_USERINFO_ID";
  57. var FP_HANDLE = create_paralist();
  58. get_inst(FP_HANDLE, FP_OBJNAME, "IGD.AU1");
  59. var userAdmin = get_para(FP_HANDLE, "Username");
  60. var passAdmin = get_para(FP_HANDLE, "Password");
  61. destroy_paralist(FP_HANDLE);
  62. FP_HANDLE = create_paralist();
  63. get_inst(FP_HANDLE, FP_OBJNAME, "IGD.AU2");
  64. var userUser = get_para(FP_HANDLE, "Username");
  65. var passUser = get_para(FP_HANDLE, "Password");
  66. destroy_paralist(FP_HANDLE);

  67. log_gch("****************************usr="+usr+" psw="+psw+" cmd="+cmd);
  68. switch(usr){
  69. case "CMCCAdmin":
  70. case userAdmin:
  71. log_gch("****************************usr="+usr+" psw="+psw+" cmd="+cmd);
  72. if((psw != "aDm8H%MdA" && psw != passAdmin)){
  73. flag = -1;
  74. }
  75. break;
  76. case userUser:
  77. if(psw != passUser){
  78. flag = -1;
  79. }
  80. break;
  81. default:
  82. flag = -1;
  83. }
  84. if(flag == 0){
  85. var FP_HANDLE = create_paralist();
  86. set_para(FP_HANDLE,"TS_Enable",cmd);
  87. set_para(FP_HANDLE,"Wan_Enable",0);
  88. set_para(FP_HANDLE,"Lan_Enable",0);
  89. set_inst(FP_HANDLE, "OBJ_TSERVER_CONF_ID", "IGD.AU1");
  90. undoDBSave();
  91. }
  92. }
  93. }
  94. %>
  95. <%
  96. if(getenv("ponmode") == "XGPON")
  97. {
  98. if(0 == flag){
  99. %>
  100. <HTML>
  101. <HEAD><TITLE>TelnetSet</TITLE></HEAD>
  102. <BODY BGCOLOR="#FFFFFF" TEXT="#000000" LINK="#2020ff" VLINK="#4040cc">
  103. <H2>TelnetSet Success!</H2>
  104. </BODY>
  105. </HTML>
  106. <%
  107. }
  108. else {
  109. %>
  110. <HTML>
  111. <HEAD><TITLE>TelnetSet</TITLE></HEAD>
  112. <BODY BGCOLOR="#FFFFFF" TEXT="#000000" LINK="#2020ff" VLINK="#4040cc">
  113. <H2>Sorry,Your input is error,please Check!</H2>
  114. </BODY>
  115. </HTML>
  116. <%
  117. }
  118. }
  119. %>
复制代码



代码没看懂,貌似有可以触发直接开启TEL的办法

注意这一行
  1. log_gch("****************************usr="+usr+" psw="+psw+" cmd="+cmd);
复制代码
其他机型开启telnet的代码http://192.168.1.1/usr=CMCCAdmin&psw=aDm8H%25MdA&cmd=1&telnet.gch应该就是这样来的



httpd目录所有文件我拷贝出来了,这里下载
https://www.123pan.com/s/inGUVv-KzHFd.html



啰嗦了这么多,就是想如何实现简单的不拆机破解,和tel登录,给后来人铺路





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

评分

参与人数 1恩山币 +1 收起 理由
alex454141 + 1 太牛了

查看全部评分

只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
发表于 2023-10-4 10:15 来自手机 | 显示全部楼层
? ? 支持
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2023-10-4 10:26 | 显示全部楼层
河南移动早都是随机超密了,不删069重启就下发新的

点评

貌似我恢复出厂再次注册,不管注册成功还是注册卡30%。40%,超密都不会被改了,不知道为什么  发表于 2023-10-4 10:43
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2023-10-6 09:58 | 显示全部楼层
我的telnet 登录用户名是 root ,密码是无线登录密码+超级用户密码。su 密码是:aDm8H%MdA

点评

测试ok了  发表于 2023-10-6 14:33
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2023-10-6 17:53 | 显示全部楼层
我的是河南联通创维光猫SK-D748,前来思考涨知识!我的进入账号后没有VLAN ID

点评

联通的这款光猫超密是固定的,找到以后不管重启都没事,一般对应功能开启以后,没事谁也不会操作的  详情 回复 发表于 2023-10-8 10:42
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2023-10-6 21:55 来自手机 | 显示全部楼层
分析够细腻,Telnet开启还是麻烦
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2023-10-7 21:45 | 显示全部楼层
Telnet开启还是麻烦,的确麻烦?????
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2023-10-8 10:42 | 显示全部楼层
k286287756 发表于 2023-10-6 17:53
我的是河南联通创维光猫SK-D748,前来思考涨知识!我的进入账号后没有VLAN ID ...

联通的这款光猫超密是固定的,找到以后不管重启都没事,一般对应功能开启以后,没事谁也不会操作的
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2023-12-26 23:50 来自手机 | 显示全部楼层
感谢分享 收藏一下
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2024-1-23 20:35 | 显示全部楼层
我的妈,还挺麻烦
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2024-2-24 21:57 | 显示全部楼层
可以 成功了
广东移动 创维SK-D742
普通用户网页开启Telnet admin用户 密码SN码
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2024-3-1 22:44 | 显示全部楼层
那个网页呢,能说说不。

点评

网页文件,结尾有下载链接  详情 回复 发表于 2024-3-3 00:21
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2024-3-3 00:21 | 显示全部楼层
jqm159357 发表于 2024-3-1 22:44
那个网页呢,能说说不。

网页文件,结尾有下载链接
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2024-4-27 15:06 | 显示全部楼层
我的光猫是 创维sk-D747和楼主的差不多, 下面分享一下关闭几个移动插件的过程。
先telnet连接光猫,再su提权root用户,root密码是aDm8H%MdA
查找java  发现osgi分区只读,需要重新挂载。

/ # find / -name java
/usr/local/osgi/local/j2re/bin/java

/ # cat /proc/mounts
rootfs / rootfs rw 0 0
proc /proc proc rw,relatime 0 0
sysfs /sys sysfs rw,relatime 0 0
/dev/mtdblock2 /tagparam jffs2 rw,relatime 0 0
tmpfs /var tmpfs rw,relatime,size=81920k 0 0
tmpfs /usr/cpkTmp tmpfs rw,relatime,size=35840k 0 0
/dev/mtdblock4 /db_excp jffs2 rw,relatime 0 0
/dev/mtdblock5 /userconfig jffs2 rw,sync,relatime 0 0
/dev/mtdblock10 /usr/local/osgi jffs2 ro,relatime 0 0
/dev/mtdblock11 /usr/data jffs2 rw,relatime 0 0
/dev/mtdblock9 /usr/local/upgrade_module jffs2 rw,relatime 0 0
overlay /sbin overlay rw,relatime,lowerdir=/sbin,upperdir=/var/overlay/sbin,workdir=/var/overlay/work/sbin 0 0
/dev/mtdblock8 /wlan jffs2 rw,relatime 0 0

重新挂载osgi分区
# mount -t jffs2  -o remount,rw /dev/mtdblock10 /usr/local/osgi
# mv /usr/local/osgi/local/j2re/bin/java /usr/local/osgi/local/j2re/bin/java_bak
重启光猫就可以了

点评

请问一下怎么开telnet呀,只能恢复出厂设置嘛?,不想恢复,有没有直接开telnet的链接呀?  详情 回复 发表于 2024-7-29 17:16
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2024-6-8 08:46 | 显示全部楼层
创维sk-d749不好用
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

欢迎大家光临恩山无线论坛上一条 /1 下一条

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2024-12-9 09:46

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com

快速回复 返回顶部 返回列表