中兴光猫折腾记 - NKXingXh's Blog - 未分类 - Linux/光猫/破解/中兴/移动

前言

最近搞了几个移动特供的中兴 ZXHN F673AV9、ZXHN F653GV9、ZXHN F613EV9、星网锐捷 H50G 型号的光猫，于是想着来整点活。

此时可能有人想问：不是研究中兴的猫吗，怎么还有个星网锐捷的？你往下看的去就知道了。

改桥接都已经是家常便饭了，这里便不再详细描述。这次打算整点改地区、改串码的活

注：这是一次尚未完成的尝试。

Day 1

尝试

先在网上查找了同道中人的折腾记录，发现中兴的猫似乎可以使用“后门”启用 Telnet —— 使用中兴的 TelnetONU 工具启用 Telnet。我找了半天并没有搞到这个工具，但是搞到了这个工具的一个核心程序(的破解版) factorymode.exe。在命令行中传入参数执行这个程序，可以启用一些光猫的 Telnet (需要光猫超级管理的账号密码)。

于是我便在自己的光猫上进行测试。

由于正在使用这个光猫，我不是很想进行恢复出厂设置的操作，便跳过了这一步。factorymode.exe 程序好像无法为我的两个光猫启用 Telnet。也许是我的光猫型号比较新？

2024-01-14T13:39:09.png

经过一阵查找，我又发现了一个工具 —— zte_modem_tools。据称这个工具的开发者通过逆向光猫固件编写出了这个工具。我使用这个工具貌似是成功的启用了 Telnet，但是我用着的猫(未恢复出厂)无法连接，另一个恢复了出厂的猫可以正常连接。

2024-01-14T13:43:15.webp
2024-01-14T13:43:42.png

Day 2

今天使用另一个恢复了出厂的猫进行测试，自己编写了一个工具，用来实现各种功能。

2024-01-15T14:06:46.webp
2024-01-15T14:08:47.webp

总结以下，就是先撬开 Telnet，然后就可以执行各种操作。

基本表操作

sendcmd 1 DB all 列出所有表
sendcmd 1 DB p <表名> 列出该表所有行
sendcmd 1 DB set <表名> <行号> <列名> <值> 设置项目值
setmac show 以十六进制字节显示本机的各种串码等基本信息
setmac show2 明文显示本机的各种串码等基本信息

Tips: 较新的光猫才支持 setmac show2

启用非临时 Telnet

sendcmd 1 DB set TelnetCfg 0 TS_Enable 1              # 开启 Telnet 服务
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1             # 允许 LAN 侧连接 Telnet
sendcmd 1 DB set TelnetCfg 0 TS_Port 23               # 端口
sendcmd 1 DB set TelnetCfg 0 TSLan_Port 23            # LAN 侧端口
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 5            # 同时允许 5 用户连接
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3             # 调整权限
sendcmd 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1     # 插上光纤后仍然启用 Telnet
sendcmd 1 DB set PortControl 3 PortEnable 1           # 开放 23 端口
sendcmd 1 DB save                                     # 保存配置

修改地区

查看支持的地区：cat /etc/init.d/regioncode
查看当前地区：upgradetest gdefconf
修改地区：upgradetest sdefconf 区域代码

还有一个命令貌似是切换版本(?) 但是我没研究明白也不敢用: upgradetest switchver 1
其实 upgradetest 的命令是我在后面使用其他猫摸出来的，具体见下文。

Day 3

今天对星网锐捷的 H50G 光猫进行了一些研究，先使用超级账号登录 Web 管理页面，找到安全-Telnet 启用即可。

先查看系统架构：

~ $ uname -a
Linux zxic 4.1.25 #3 SMP PREEMPT Tue May 9 08:19:59 UTC 2023 armv7l GNU/Linux

发现是 zxic，此时其实心里已经有点数了。zxic 就是中兴微电子~~（这不就等于中兴的猫）~~。但是注意光标 ~ $ 说明不是超级用户，使用 whoami 命令查看是一个名为 csp 的用户。

尝试切换到 root 超级账号。

~ $ whoami
csp
~ $ su
Password: aDm8H%MdA
/ # whoami
root
/ #

对，没错，密码就是移动默认的超管密码 aDm8H%MdA。接下来就是尝试 sendcmd 等命令是否有效。

然而 sendcmd 提示找不到？

别慌，其实在这个猫上面使用的调试命令是 sidbg，后面的参数都一样。与这个同样的还有 upgradetest 命令，在这个猫上对应的是 siupgrade；setmac 则对应 sismac。

其实这个猫上面一些调试命令都是 si 开头

/ # si (按 TAB 补全)
sidbg       siepon      sigpon      simulation  sismac      siswitch    sitm        siupgrade

看下 siupgrade 的用法

/ # siupgrade
upgrade_test begin!
upgradetest.txt exist,size = 2375!
illegal parameter !
Usage:

  1. siupgrade gdefconf       # 获取当前区域
  2. siupgrade sdefconf 223   # 修改区域
  3. siupgrade switchver 1    # 切换版本(?没试过不清楚，问就是不知道)

那照理说 upgradetest 的用法也差不多。

Day 4

今天又搞了个友华 PT928G 的猫来，开 Telnet 看了下用的并非中兴方案，并且 sendcmd 等命令也没用。这里仅作一点记录，就不花大篇幅写了。

如你有研究意向可以看看我以前的文章《获取电信光猫PT926G超级管理密码、拨号密码》与下面列出的一些文章。

PT924电信光猫获取管理员用户密码
 友华PT939G移动光猫开启telnet获取配置文件
 友华PT939G移动光猫取消Wifi前缀
 友华新版光猫改省份改地区改MAC改SN方法【PT925G测试】
https://post.cplus8.com/d/446

搜索关键词: yhtcAdmin、友华 telnet、友华改地区

Day 5

今天搞了个移动自己终端公司 (SN开头CMDC) 的 H5-9 光猫来，开始研究。

2024-01-19T06:28:42.webp

先使用默认超管密码登录光猫管理，然后打开 http://192.168.1.1/getpage.gch?pid=1002&nextpage=tele_sec_tserver_t.gch 启用 Telnet。感觉有点眼熟？那就对了，这个猫用的也是中兴方案，和 Day 3 研究的大同小异。剩下的参考 Day 3 章节教程就可以了。

2024-01-19T06:27:31.webp

(未完待续?)

鸣谢

此处记录研究过程中提供了帮助或参考过的一些博客、论坛等，排名不分先后，可能存在遗漏深表抱歉。

本文链接：

https://blog.nkxingxh.top/archives/310/