【搬运总结】中兴F650 天翼网关3.0 免拆机 免TTL 持久开telnet

a869***

本文方法在ZXHN F650 硬件版本3.0 软件版本v2.0.3P1T2（不同地区P1T2这个代码不同，默认区域下是P2T9，只要是天翼网关3.0软件版本都是v2.0.3即可） 设备下测试成功！


首先拔掉光纤！拔掉光纤！拔掉光纤！重要的事情说三遍！

然后光猫LAN口直连电脑，电脑网卡手动设置IP：192.168.1.2，掩码默认255.255.255.0，网关留空，DNS也留空。等所有操作完成后，插回路由器后再把网卡改成自动获取。


打开CMD或者PowerShell，执行ping 192.168.1.1 -t，用来检测光猫是否重启完毕。


1.拔掉光纤后，捅住光猫右侧的reset别放（这个猫的reset不在lan口那侧，在旁边），直到光猫所有灯开始闪烁，然后一直常亮，即可松手，光猫开始重启并恢复默认设置。


2.恢复默认设置后，telecomadmin密码就恢复成了nE7jA%5m，浏览器打开：http://192.168.1.1，输入用户名：telecomadmin，密码：nE7jA%5m，登陆，然后记下LOID，这个我们后面会用到，因为捅reset并不是彻底的恢复出厂，所以这个LOID还在。


3.然后浏览器打开：http://192.168.1.1:8080/hidden_version_switch.gch，选择Default Version（默认版本下telnet是开启的，替换telnetd需要这一步），然后输入密码nE7jA%5m，提交，光猫会自动重启。


4.重启完毕后，使用telnet工具（putty或者开启windows自带的telnet客户端都可以）登陆192.168.1.1，端口23，用户名：root，密码：Zte521，然后执行：

1. cp /opt/upt/framework/saf/rootfs/usr/sbin/telnetd /usr/sbin/

复制代码

执行完毕后，输入exit，退出。浏览器再次打开：http://192.168.1.1:8080/hidden_version_switch.gch，切换回你原来的区域，输入密码nE7jA%5m，点提交，光猫会自动重启。


5.重启完毕后，浏览器打开：http://192.168.1.1:8080/return2factory.gch，输入密码nE7jA%5m，点确定，然后光猫会重启并彻底恢复出厂设置，这个操作会清空LOID。


6.重启完毕后，浏览器打开：http://192.168.1.1，点击最下方的装维入口，然后点击设备注册，输入LOID，注册即可，无线关不关随意，我反正用路由器拨号，无线我把它关了。注册成功下发业务配置后，光猫会重启。


7.重启完毕后，由于业务下发这时候telecomadmin密码不再是nE7jA%5m，这时候使用telnet工具登陆192.168.1.1，端口23，用户名：root，密码：root，执行：

1. sendcmd 1 DB set DevAuthInfo 0 Pass nE7jA%5m
   
2. sendcmd 1 DB save
   
3. sendcmd 1 DB saveasy

复制代码

执行完毕后，输入exit，退出，密码就改回nE7jA%5m了
关于telnet密码发生变化的解释：因为使用光猫固件里的子系统OpenWrt的telnetd替换了中兴的修改版telnetd，所以不再受中兴配置文件的影响，而是受到/opt/upt/framework/saf/rootfs/etc/shadow影响，telnet的密码发生了变化。


8.浏览器打开：http://192.168.1.1，用户名telecomadmin，密码nE7jA%5m，登陆，然后你就可以做自己想做的事了。只有业务下发才可能导致密码会变，所以今后不管怎么重启，密码还是这个密码，不用担心，如果哪天提示密码错误，进telnet再修改一次即可。


最后说一下，这个方法比现在网上其他破解方法安全且便捷，而且F650 天翼网关3.0就算用TTL，进去也是一直booting the kernel，没法操作，这个我已经实际操作验证过了。然后就算导出db_user_cfg.xml也没有解密工具可以解密，用sendcmd查超密也都是星号，所以索性直接改超密。


至于TR069我个人是不喜欢删掉的，因为影响业务下发，今后如果有业务变动，可能会导致无法上网。替换telnetd之后不管切换哪个地区版本都是可以用的，而且权限也是最高，所有命令都能正常使用。


如果只是纯粹改桥接，直接浏览器打开：http://192.168.1.1:8080/bridge_route.gch，选择桥接复原即可。或者致电10000和装维人员。


本文搬运总结来源：http://www.chinadsl.net/thread-165040-1-1.html

At***

太感谢了 昨天还在搜

二哈***

重庆电信，网关3.0 f650 V2.0.3P1T2   但是要恢复出厂还是有点怂

二哈***

注册卡百分之40

ws***

这个看似可行，但不知道LOID，还是不敢冒然操作。

ws***

这个看似可行，但不知道LOID，还是不敢冒然操作。

LonG***

嗯，谢谢总结，我也是用的这个方法

sunhb13***

赞一波。破解成功。支持有领先头脑的人、谢谢

Bode***

二哈与猫 发表于 2020-3-25 18:29
注册卡百分之40

没超级密码不敢梭哈恢复，不梭哈拿不到超级密码

二哈***

Boderline 发表于 2020-3-29 16:04
没超级密码不敢梭哈恢复，不梭哈拿不到超级密码

装维师傅过来弄好了，之前的操作也有效，密码变了的话telnet改回去就好了

linji***

终于等到楼主的帖子了，我的版本跟楼主的一样是V2.0.3P1T2，刚刚看完按步骤操作了一下，顺利破解完成！感谢🙏

linji***

wsgwz 发表于 2020-3-26 09:48
这个看似可行，但不知道LOID，还是不敢冒然操作。

可以放心操作，只要是正常上网的光猫，捅菊花恢复设置后，LOID还在的

ws***

linjichuang 发表于 2020-4-2 23:30
可以放心操作，只要是正常上网的光猫，捅菊花恢复设置后，LOID还在的

很好的，下午了继续折腾。

前段时间，就是因为无聊，把自家华为HG8120，做完ONT，进入命令行界面，在没有搞清楚执行命令后果的情况下，冒然运行了restoreHWmode.sh，之后就各种打电话、APP报故障、联系售后安装，最后加钱升级到300M，换成中兴F650，对于中兴的F650就没再敢动手动脚。

ws***

好像这一版本，已经把漏洞堵上了，第三步浏览器打开失败，网页显示404，折腾失败，取得LOID，重新注册设备成功，但固定电话连接没有啦，目前是iTV和网络连接正常。

a869***

wsgwz 发表于 2020-4-3 15:57
好像这一版本，已经把漏洞堵上了，第三步浏览器打开失败，网页显示404，折腾失败，取得LOID，重新注册设备 ...

不是中兴的猫没有这个网页