UNG300Z 超管破解 & 折腾

中继是不可能中继的,这辈子不可能中继的。接TTL又不会接,就是改这种东西,才能维持得了网速这样子。绰,怎么中继还改不掉了?

提示

恩山无线上的帖子也是本人撰写。

故事要从上上周末开始。

我打电话给 10086,要他帮忙给我改桥接,对面很爽快地说派人周末上门看。

师傅上门来,试图给之前那个光猫(HG6145D)改桥接,结果改完不到一分钟,自动还原成中继模式。师傅自己尝试了三次,直接把他也整懵逼了,联系局端值班的,值班的客服排队到25号了。

给人师傅倒了一杯水,人家也很疑惑,为啥会自动复原,并表示明天会再带一个光猫过来,给换上之后再试一下。

第二天人家顶着太阳来了,很快就给换了一个光猫(也就是标题中的 UNG300Z),结果依然是保存后自动复原,这下彻底给师傅整不会了。师傅告诉我说,他装了这么多次宽带,头一次遇到这种情况,并表示他也有点无能为力。并告诉我说,如果你想倒腾的话,我可以把下发后的密码给你,并欢迎我继续向 10086 投诉。

所以如果我想,实际上打个电话或者发个短信,人家就能把新的超管密码发给我,也就没有这篇文章了(doge)。

但是还是想自己折腾,于是就有了本文。

本文参考了: https://www.52pojie.cn/thread-1577267-1-1.html && https://blog.csdn.net/weixin_46308166/article/details/125951193 感谢原作者提供的思路。

破解超管

这应该是我遇到的最容易破解的光猫了,没有之一。操作比较简单,下文中不附截图。

打开 Telnet

电脑连接到光猫,使用浏览器打开 http://192.168.1.1/usr=CMCCAdmin&psw=aDm8H%25MdA&cmd=1&telnet.gch ,如果见到网页提示 TelnetSet Success 表示成功开启了 Telnet,可以进行下一步了。如果你电脑里没有 Telnet 客户端。。。什么,你还没装找个?

使用 Telnet 登录终端

找个终端,telnet 到 192.168.1.1,用户名 CMCCAdmin,密码 aDm8H%25MdA,一般只要你前一步执行成功,提示的内容和我这里一致,你应该可以顺利登录上终端,见到 shell。

解密配置文件

一行命令: sidbg 1 DB decry /userconfig/cfg/db_user_cfg.xml

此操作会将原本加密的配置文件解密到 /tmp/debug-decry-cfg 文件中。现在要做的,就是将这个文件下载到本地,找个好用的 IDE 打开分析就行。

下载解密的文件

这个光猫自带的 Busybox 还挺全,可以选择用它开个 FTP 服务器,在本地下载就行。

执行命令 tcpsvd -vE 0.0.0.0 21 ftpd /,此操作会以根目录为起始目录,开启 FTP 服务。

找个趁手的 FTP 客户端(可恶,为什么 macOS Monterey 删了 FTP 连接),连接到服务器,地址 192.168.1.1,端口 21,用户名密码为空。连接上后直接下载 /tmp/debug-decry-cfg 到本地。

这个时候你要是想把整个根目录拖下来研究一下文件系统也不是不行(

找到超管密码

打开文件,直接搜索 CMCCAdmin,顺序搜索第一个匹配结果下的 Pass 就是超管密码了。

折腾

很遗憾,一无进展。尝试删掉 TR069 再改桥接,依然是自动复原,根本没有我拨号的机会。如果各位大佬有解决方案,欢迎和我私聊。