破解HN8346X6-C（九州版）无root权限问题(所谓软件缩水)降低CuInform-inner高CPU

breezenight2008

从多个地方有听说HN8346X6系列光猫是缩水版，原因是：难于获取带root的shell等。。不敢苟同这种说法。
春节假期期间闲着无聊，收了一个九州版的HN8346X6-C，折腾了一下，把这几天的发现共享给大家，回馈论坛，顺便赚点币

下面教程是如何获取HN8346X6光猫的root，获取了root，我也看不到这个九州版本和论坛里说到的华为版本有什么区别了。

1. 我的光猫的硬件版本和软件版本






据海鲜市场卖家说这只猫是从北京联通的一个人那边收的，按照B站的视频获取了shell权限并且成功切换到了蓝色华为界面，可惜通过ssh登录之后，发现shell权限并不是root权限，有图为证。


没有root权限意味着很多命令都执行不了，比如我就发现这个猫切换到华为界面之后，有个CuInform-Inner进程占用了大量的CPU，而我甚至没有办法用kill将之杀死。占用大量CPU意味着可能在某些特殊情况下跑不到千兆，且可能造成光猫发热严重。本着折腾的精神，到处看看系统中有没有漏洞可以利用。还真是被我发现了。

2. 为什么会设计成没有root权限
设计为没有root权限，显然不是为了缩水..这个基本上是为了安全的考虑。设想一下这颗光猫部署在可能几百万的用户手上，如果存在漏洞被黑客利用，很有可能变成所谓肉鸡，而且数据也毫无隐私可言。可能华为工程师发现了什么漏洞，逐渐加强安全保护，将root权限收回，在执行shell命令时，默认以srv_clid账户执行，srv_clid账户默认只允许很少一部分应用可以通过sudo切换到root执行，比如restorehwmode.sh。这是一个好的方向，可惜还是存在着一些漏洞。

3. 漏洞来源
/mnt/jffs2/app下看起来是放置一些应用程序扩展的地方，其中有一个CuInformLoader，可以看出这个命令是以root身份运行的。



我们的突破点就在这里，可以用自定义的一个命令替换它，为什么可以替换它呢，因为它的源文件来自于srv_clid


4. 执行下面的命令，获取root权限
首先通过tftp将telnetd导入到/mnt/jffs2文件夹下，然后创建一个启动telnet的脚本，然后重启。

1. cd /mnt/jffs2/app/

复制代码

5. 测试
等待光猫重启后，用telnet命令尝试

1. telnet 192.168.10.1 9999
   

复制代码

6. 剩下的事情：
* CuInform-Inner已经没有了，我们的光猫CPU不会被大量占用了
* 想备份，想破解，甚至想跑一些自定义的系统服务进行客制化，都是可以的。虽然我也想不到有什么东西可以跑在上面，说不定可以跑一下wireguard在上面，别问我wireguard是什么，查一下就知道这东西有多香

breezenight2008

PS: 大家如果做完客制化，记得把CuInformLoader改为原版或者删除，避免此后门被利用

Es2018

火钳刘明
HW版的路过思考备用

Es2018

火钳刘明
HW版的路过思考备用

mayi5147

这个必须要支持，虽然看不懂~！

猜破天机

这种复杂的看不懂……

我望云

感谢感谢，能把恢复华为界面的软件发我一份吗？

lijetcart

这种复杂的操作，需要多看看

机情四射

希望大佬继续玩转这光猫，后期能出视频就更好了

wy2024

感谢分享

Qwerty4401

大佬，我北京联通千兆用的就是这款光猫，改桥接以后下行速度只有500M左右，可以通过替换华为界面来达到千兆满速吗？或者说达不到千兆满速的原因是不是跟那个CuInform-Inner占用大量CPU有关？望回复，谢谢。

逆旅行人

大神，漏洞来源那张图是用什么代码可以查看的

assans82

telnetd的启动命令是啥，大佬能给一下吗？

whoweasn

感谢分享！ 真技术

whoweasn

如何创建启动运行脚本啊