|
|
前言:
这个光猫研究我花了几个小时,熬夜到凌晨3点才弄好
方法应该是全网首发,废话不多说直接上教程
基本情况介绍:
光猫型号:ZXHN F650
固件版本:V2.0.3P1T2
需要准备:
1. U盘一个
2. 抓包软件
Reqable Reqable下载地址或者 Fiddler 4
我教程使用的是Reqable
操作步骤:
1. 插入U盘输入光猫后面的密码进入存储管理
2. 打开抓包软件,并配置好
在光猫点击文件夹,发现软件有数据在走则代表环境已经搭好
我的示例是在U盘的根目录下新建一个 Music 目录,后期db_user_cfg.xml会放到这个目录来
3.抓取/cgi-bin/luci/admin/storage/copyMove 数据包,并修改里面的路径
这一步尤为关键,总体思路是将/userconfig/cfg/db_user_cfg.xml 文件 复制到 u盘的 /Music 目录下(不是Music目录也可以,我这里是演示)
这个时候你随便在网关界面复制一个文件到某个目录
在抓包软件里面发现copyMove结尾的url包,修改提交的参数
- <font color="#000000">
- POST /cgi-bin/luci/admin/storage/copyMove HTTP/1.1
- Host: 192.168.1.1
- token=你的token&opstr=copy%7C%2Fuserconfig%2Fcfg%7C%2Fmnt%2FUSB_disc1%2FMusic%7Cdb_user_cfg.xml&fileLists=db_user_cfg.xml%2F&_=你的时间戳
- 改为
- copy%7C%2Fuserconfig%2Fcfg%7C%2Fmnt%2FUSB_disc1%2FMusic%2F1%2F%7Cdb_user_cfg.xml&fileLists=db_user_cfg.xml%2F&
- 看到响应就代表成功:
- {
- "setRes": true,
- "filePath": "/userconfig/cfg",
- "percent": 100,
- "transId": 3,
- "fileNum": 0
- }
- 这个时候到U盘的/Music 目录下即可查看到db_user_cfg.xml文件</font>
4.拿着这个db_user_cfg.xml文件去解密
解密工具下载地址: https://github.com/wx1183618058/ ... rk-Terminal-Decoder
下载解密软件执行命令
把这个db_user_cfg.xml和ztecfg.exe在同一个目录
cmd
ztecfg.exe -d AESCBC -i .\db_user_cfg.xml -o success.cfg
看见输出:
作者:欲断魂
介绍:仅支持中兴光猫3.0配置加解密
cfgFileDecryAESCBC magic=0x4030201 sign=0x4000000
cfgFileDecryCRC magic=0x1020304 size=0x66fec comp_size=0x7be7
这个时候打开success.cfg,搜索:Pass
即可看到超级管理员密码
DM name="User" val="telecomadmin"/> <DM name="Pass" val="xxxx"/>
5.踩坑点:
千万不要去这个hidden_version_switch.gch页面切换版本,否则会直接恢复出厂设置,幸好我保存了db_user_cfg.xml文件,我搞到凌晨3点才恢复网络
http://192.168.1.1:8080/hidden_version_switch.gch
6.其他帮助
本帖子是根据教程:https://www.bilibili.com/opus/561816898105280335 的改版,如果在第三步有不懂的直接看这个教程,你就懂了
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/1 
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
发表于 2025-4-3 11:51
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡
