网站 › 『脱壳破解区』 › 获取天翼网关超级密码实现内网穿透的一次手记

qiucx 发表于 2021-3-31 08:43

获取天翼网关超级密码实现内网穿透的一次手记

本帖最后由 qiucx 于 2021-3-31 22:16 编辑

因为要实现外网以代{过}{滤}理服务器的形式访问内网的一台PC机，所以，目标是实现内网穿透。刚开始没有发现光猫也带了路由器功能，因为路由器直接来个dmz或者端口转发就可以了，结果走了几段弯路。先说一下我的网络情况：
光猫（GPON天翼网关(4口单频)ZNH6000好像），带一个动态分配的外网地址60.121.23.11和一个192.168.1.1的内网地址，光猫接了一个华为aix3pro的无线路由器，分配给路由器的地址是192.168.1.167，路由器的内部下层局域网地址是192.168.3.1，需要访问的内网pc机，也是目标机器ip是192.168.3.90。

刚开始，在华为路由器配置了花生壳的动态域名，结果外网访问到的地址是192.168.1.167，第一个方案是让光猫路由器进行一次端口映射，60.121.23.11上的8888端口映射到192.168.1.167上的8888，再让华为路由器二次端口映射到192.168.3.90的8888端口。如果手机通过内网上网，把手机设置成60.121.23.11代{过}{滤}理地址，是可以访问到192.168.3.90pc的，但从外网地址就不能访问到192.168.3.90。二次转发不知道为啥不行？

怎么办？第二个解决方案是把pc直接连到猫的路由器上，获得的地址是192.168.1.11。但电信很鬼，进入http://192.168.1.1进行配置发现，给的配置权限很低，DMZ、DDNS等功能都不开放。怎么办？想法获得网关超级密码好像是唯一的办法。百度一下，网上找到这篇文章 https://post.smzdm.com/p/akmgqzk9/ ，其他好多都不行。依样画葫芦，抓包，获得telecomStatus.cgi数据后发现，我跟他的数据不同，他的服务器直接返回了密码给他，我的是一串MD5后的加密串，应该是后面升级了吧。正当我准备放弃的时候，发现超级密码规则很特别：账号telecomadmin

密码telecomadmin23557251（前面字符串固定，后面是8位动态数字）

如果是这样的话，就好办了。

写了一段代码，循环从99999999开始减数字，跟telecomadmin拼接后，算出MD5值，然后跟前面获取的MD5数据比较。运算速度很快，我的运气也好，密码是telecomadmin98475328，呵呵，基本上是秒出。马上登录http://192.168.1.1:8080超级管理页面，正常。端口也不转发了，直接把DMZ开起来，外网手机配置上60.121.23.11的地址和端口，pc机器上的charles能正常抓包了。
编辑：java代码：

import java.security.MessageDigest;

public class MD5Util {
    public static String encode(String str) {
      String str2 = "";
      try {
            MessageDigest instance = MessageDigest.getInstance("MD5");
            instance.update(str.getBytes());
            byte[] digest = instance.digest();
            for (byte b2 : digest) {
                String hexString = Integer.toHexString(b2 & 255);
                if (hexString.length() == 1) {
                  str2 = str2 + "0" + hexString;
                } else {
                  str2 = str2 + hexString;
                }
            }
      } catch (Exception e2) {
            e2.printStackTrace();
      }
      return str2;
    }
   
      public static void main(String[] args) {
                for(int i = 99999999; i>=0; i-- ) {
                        if("0ecc3946595012ea51b831357cfb6d3a".equals(encode("telecomadmin" + i))) {
                              System.out.println("telecomadmin" + i);
                              break;
                        }
                }
      }
}
有帮助的话请大家免费评点分，感谢！

braxiong 发表于 2021-3-31 09:12

{:300_966:}其实你都拿到telecomadmin的密码了，为何不直接把上网方式改桥接，然后路由负责获取IP和转发呢，这样不就舒服很多吗

poneyman 发表于 2021-3-31 20:02

如果只是改桥接的话，可以参考这个方案：
①先进入光猫默认管理界面192.168.1.1，输入普通权限的用户名useradmin和密码，默认用户名和密码是光猫背面的。登陆后保持页面在线。

②打开http://192.168.1.1:8080/bridge_route.gch，就可以看到有何按钮“桥接复原”，不用输入任何信息，直接点击。

这样子就改成桥接了。

如果想改成路由器拨号，还是这个界面，输入宽带的账号和密码，就可以。

nm76543 发表于 2021-3-31 21:51

小白一个，努力学习下

htg007 发表于 2021-3-31 08:50

楼主牛逼，感谢分享经验

HZB586 发表于 2021-3-31 08:50

每个地方都不一样现在的超级密码基本上都是8位数的字母:keai

mdx005 发表于 2021-3-31 08:51

楼主厉害了，感谢分享

slg36 发表于 2021-3-31 08:53

谢谢楼主的分享，学习

liansir 发表于 2021-3-31 08:54

太强大了。牛人

星独无飞 发表于 2021-3-31 08:55

试出的密码{:1_921:}

pdcba 发表于 2021-3-31 08:55

感谢分享

龍謹 发表于 2021-3-31 08:56

虽然没看懂，收藏了再慢慢看。

tuzi444 发表于 2021-3-31 08:58

楼主太厉害了，佩服了，谢谢分享！

查看完整版本: 获取天翼网关超级密码实现内网穿透的一次手记