中兴光猫 ZXHN F450 3.0 漏洞分析与利用以及破解
本帖最后由 JuncoJet 于 2019-7-26 10:14 编辑最近家里宽带升级了200M,于是某信以我的老光猫(烽火某型号)不支持为由,给我换了新的光猫。说实话还是有点不舍得的,毕竟老的光猫是没有无线的(个人觉得这是个累赘,家里已经装了UBNT的AP覆盖,而且也会增加光猫的功耗,最关键我的老光猫是破解的,出入管理界面自由)。然后就对破解光猫有了新的认识,比如什么是LOID啊,什么是ITMS啊,巴拉巴拉。
ZXHN F450 3.0的光猫,应该是江苏这里主流的新款光猫吧,我尝试了网上流传的所有破解方法,无一能成功的。所以就自己分析可能存在的漏洞,然后尝试利用并且破解。虽说现在回想以及使用漏洞破解轻而易举,但当初(3天前)想破乳头(乳就是小的意思)都找不出解决的办法,不过整个的破解过程还是需要唠叨一下的,毕竟这样才显得博学(误,对破解其他光猫会有很大的帮助,因为我用其他的方式,又破解了一台华为HG8145C 2.0的光猫,对于老光猫的话这些老方法还是很有效的。
1. 光猫到手我就拆了,因为知道破解光猫最终极方法就是TTL大法,于是我找出年代久远的CH341 土豪金编程器,跳线帽调至TTL模式,杜邦线接到光猫。以我多年PCB Layout经验,热焊盘的是GND,粗线的是VCC,另外两个可能是TX/RX,然后接上。Putty打开串口,打开光猫,出来了期待的文字,一脸果然如此的神情浮现在楼主稚嫩而精致的小脸上(窜线了。然后……然而……等到画面停止跳动,光猫完全启动,发现怎么按回车或是ESC都不能弹出登录界面?难不成线没接好,再重启,然后不断的按ESC,终于我进入了一个叫UBOOT的界面(就是小米手机刷机那个FASTBOOT,哦不对),反正就是用来引导系统启动,并且提供了一些基础的功能比如刷机,升级,重置之类的功能。然后我稍微尝试了一下(其实比较久,可以通过TFTP更新固件,然而手头没有合法的固件,貌似需要CRC32之类的校验合法性,所以刷不进。并且虽然提供了ls命令,但无法进目录里查看,只能查看根目录,其他的话基本都是内存读写NAND FLASH(闪存)读写之类,没有对文件系统结构具体的地址进行展示,就算是能读写NAND但不知道地址,胡乱写入只会让光猫变砖,变砖后虽然可以换新猫,但有拆卸过的痕迹怕是到时候需要好好解释(狡辩)一番的了。此方法就此告罢。
IC上的散热器胶很牢,用拆焊台加热240℃,中等头,吹个10多秒钟,然后拆下。
蛤,一波操作后比较乱。
2. 拔光纤,长按reset按钮重置机器。貌似没啥效果,只能起到重启的效果,没啥P用。
3. 通过网上流传的,重置光猫地址,切换地区方法来强制清空机器数据,从而破解光猫的原始管理密码。不过貌似是失败了,主要原因,该功能已全部设置了密码保护,只有拥有密码的管理员才能对机器进行上述的操作。
4. 研究U盘管理功能,是否可能存在权限访问U盘路径以外的其他路径。以/etc为例,使用HTTP调试工具Fiddler进行参数的改写。列出/etc目录下的文件,这个操作有点慢,因为这个目录下文件有点多,我都以为失败了,结果列出来了一大堆的数据。然后我再尝试了获取/etc/password、/etc/shadow文件,拷贝到U盘中,结果能成功(这个部分没啥用,因为我没法Telnet也没法TTL登录进路由器)。再做了一些测试,和网上流传的说法/userconfig/cfg目录下是存放光猫配置的,我尝试把这个目录下的配置文件拷贝到U盘,然后打开文件,很遗憾xml被加密了。看文件的结构,应该是比较严谨的加密,但还是怀着试试看的心态写了个XOR暴力穷举程序,试试看会不会不像表面上那么难。但结果比较遗憾,和表面上看上去一样的强(穷举程序代码如下,可以附件中下载)。
列出配置文件,如果你只是要破解光猫,直接删除掉这些配置文件就行了,如下图
导出的配置文件
使用XOR暴力穷举,尝试破解
5. 久违的无法上网,等我破解了超管权限之后,我竟然无法上网了。猜想可能配置文件丢失,可能重置一遍机器就会好的,所以就彻底重置机器,然后再试。不试不知道,一试吓一跳,我竟然3天都没搞定,一直无法上网。用手机百度了无数个帖子,发现貌似有个叫LOID(中文名宽带识别码,逻辑ID)的东西。仔细查看发现疑似被重置掉了,网上有说法说可以找某信可以要,于是就打电话给某信,我已经明确的说宽带识别码了,但是客服却不肯给我,非要安排个小哥上门。上门就上门吧,不带怕的,虽然机器还裸体着……某信小哥上门就给输了码,成功的上网。但我是个不信邪的人啊,对于出现的问题刨根问底才能在逆境中成长,我深知这个道理。所以我又把光猫给破解了一次(采用第4种方法),破解后重启进入光猫,我果然看到了LOID,并自行的保存好以备用。然后我又重置了机器,自信满满的输入了LOID,并且成功的没法上网。我当时就窝了一个艹,怎么回事?登录进管理界面发现ITMS注册不了,这个东西疑似是需要某信在系统上登记的,需要下发。不黑进某信的系统,是没法进行下发操作啊……这么想着,又一天过去了。我就收了两个旧猫。如下图,当是的猜测是这样的,可能老猫不需要ITMS注册,网上搜索结果来看,很多老猫用户ITMS没有注册就成功的上网了。于是倒腾起了华为HG8145C光猫来。
注意上图和下图LOID区别
6. 一言不合就开盖,HG8145C的盖比F450难拆不止一点点,F450可以几乎无损的拆开,但是8145拆开还是断了不少的脚的。好在外部没有什么拆卸痕迹(对于一个外观DANG,我不忍心看到一点瑕疵),拆开后看到主板上有5个接口,看着像串口。凭借多年PCB Layout经验,秒区分出了VCC GND TX RX(就是这么流弊,我能说啥),但是接上串口疑似没啥反应,用新买的钳形表(只是突出个性,普通万用表也行),测得电压只有TX RX 口40mV,一般来说TX RX的电压都在3.2V才是正常的。于是找板子上的布线,发现TX RX少了两个电阻。测量电阻的前端,电压得到3.2V,懒得补上电阻(0402的电阻我也没有啊,还要去买),直接飞线接出。接上我的CH341土豪金,完美的得到tty,久违的登录界面出现了,但是root的密码admin却不对。求助chinadsl上的大佬得到了adminHW这个密码成功的登录进去。按照网上的教程备份配置文件之类的命令全被和谐了,shell里面也就少的可怜的两个命令,其中一个还是exit。唉,只能自己研究,研究发现WAP模式下,可以restore_factory,重启后成功的通过telecomadmin nE7jA%5m成功的登录进了管理界面。
留了后门的HG8145C
7. 为全新的HG8145C(重置完了啥也没有)绑定LOID,输入后没过多久,我就注册上了。系统界面上显示OLT和ITMS都注册通过了。当时我又是一个我了个艹,难道说老光猫容易破解?或者说不需要特定的注册??然后我又试回了F450光猫,一波操作之后也能够上网了。这就似乎有点诡异,经过一波研究并且结合百度上大家的说法,猜测可能光猫在某信的系统上只能被绑一次。同一个光猫同一个终端接口(光纤接入)需要某信解绑后才能重新注册使用,但是换来了光猫之后会自动重新绑定新光猫。所有这就是我用了HG8125C后再F450也能上网,单单使用F450却怎么重置,怎么注册都上不了网。如果手头只有一台光猫的小伙伴们,你们可能只能找某信小哥上门帮解绑重新注册牢哟。这个部分我就不截图牢,上网谁不会,噗。
关于ZXHN F450 3.0的漏洞,应该是权限不明确,WEB SERVER运行在root权限下导致的,同样的漏洞在华为的机器上却没有。因为看过华为的机器,对权限设置的非常的严谨,并且在登录认证上也很复杂,密码输入超过次数后都会被锁定,并且无法修改disable属性来强制的提交。中兴的机器,只能说一般。但是TTL、Telnet等都彻底阉割干净了,所以很少有可以利用的漏洞,目前作者就发现这个唯一一个可以利用的漏洞。其本上全球首创。对于某信需要修正这个漏洞也是很容易的,直接做个路径匹配,轻轻松松的就解决了。但个人来说还是(不)希望某信修正的,这样的话可以多学习一些知识,写出更流弊的破文(噗
根据作者的亲身经历,研究心得,开发了一键化破解工具(详见附件),如果是F450 3.0江苏版的用户你们有福了哟。
或者想学习整个破解过程手动破解的,也可以看我自己录制的教学视频,视频地址:https://pan.baidu.com/s/11eaIchIJYjARr4UC38Zl4A 提取码:xhm9
本帖最后由 smile1110 于 2019-7-26 17:31 编辑
拆了光猫看了一下主板上面的固件还原重置点位 , 最后还是用的符合中兴2 3 4代光猫,通用超级密码,为嘛不直接用中兴没有屏蔽的telnet 连接,伪造地址并打开后,然后用光猫下面低权限的账号密码连入,读配置文件,像telecomadmin nE7jA%5m这种通用的root账号,一般区域 电信和联通运营商并不会从配置中删除这块,直接读root账号即可.结饶了这麽大一个圈,就用了别人提供的root账号和密码.,我精通ccs,计算机电气化的全部分支.只是不认为嵌入式跟5G通讯以及电气自动化等其它的硬件逆向是ctf方面的的未来,因为在两年之前的国外大佬的普遍探索,因为大气层计划人才辈出,导致跳过了play station 为代表的嵌入式这块,现在的cracker的逆向工程因为六七八代cpu没有本质换代问题,当然极客也是想要屏蔽14nm+++++工艺的引脚来用旧主板,,焦点普遍在cpu的漏洞和物联网漏洞这块,你以为我在说废话,实质上,两年前直接cracker绝大部分精锐已经跳过了计算机电气化这个过程,这跟计算机科学的基础电子无关,嵌入式的研究在国内大的论坛也有,恩山,迅维,chiphell.而这篇文章的程度在这些地方旧能体现说程度多低.只是ccs并非re的未来.另外spdif那篇文章spdif 本身就是高清音频光纤线,起了一个无比猖獗的题目,这篇文章饶了这麽大一个圈,就用了别人提供的root账号和密码.毫不夸张的概论剽窃加吹嘘,是欺我吾爱无人?两篇文章程度之低,令我辈汗颜,拉黑不解释.这篇文章还远不到ccs的门槛,长篇累牍,废话连篇.以这两篇文章的标题,怕不是以为要推进re到上面这两年聚焦的最前沿的领域,既然空洞无物,有名无实.
那么写这篇文章的意义何在呢?为了维护吾爱的公正性我才开喷,并对上面这番话负责
首先楼主是用的依旧是EPON而不是现在的GPON,EPON的带宽速率要低于GPON的。
因为已经是200M宽带,那么就需要设备有千兆网口,老光猫不支持很正常,否则你200M的带宽能使用的速率依旧是100M的上限。
其次楼主家是FTTH接入,从二级分光出来的,1台分光器搭载8个用户,你和其他7名用户的逻辑ID都是相同并恒定的。这是因为电信在当初二级分光器挂测的时候就锁死了,你的逻辑ID就是OLT下挂的PON口(至少电信一定是这个),例如PON口为1-5-3,那么你和其他同一分光器的7名用户的逻辑ID就一定是0503,改了就不能上网了。所以其实有了超管密码,能动的只有改桥接或者路由模式,其他数据改了都会上不了网,你改的我们称为ONU数据,一旦ONU数据变化就会造成ONU到ODN再到上联OLT的数据不一致,然后上不了网。
要获取你的逻辑ID你只用和负责你家宽带的装维师傅联系,他们都有这信息的,不过在我看来,超管密码的实际意义并不大。 写的很好 那些itms,loid,感觉破解没啥用啊 ,我就是电信的 ,哪里的保密 ,光猫超级管理员密码 我们这只要恢复出厂一次就会被重置,而且我有查看管理密码的权限,loid 权限,上网宽带改密码的权限我也有,现在的老猫和新猫后台上网的数据是不一样的,如果用老猫直接换新猫 很多时候是上不去网的,新猫换老猫倒是可以上网
别乱搞,这个破解是破解了 会破坏中国电信下发的配置参数,iptv直接残废
电信预留可以跑到300m 破解之后 网速200m都不到了,这个破解存在严重问题
至少湖南地区的是这样,v2.0.3 p1t1版本,能破解,但是破解后 iptv 参数异常,网速暴降
没办法 找到本地装维 恢复出厂 拿到loid 重新注册,才完全正常 解压密码是:LOVEJJ 吴壮壮 发表于 2019-7-25 16:57
电信的路过,换光猫有时需要PON注册,或ITSM解绑的
我这里两台互换着绑可以,但同一台机器没法绑两次 anysoft 发表于 2020-2-25 16:30
删配置。。。。牛掰。。。如果当地电信不下发就崩了。。。。还不如越权后写个asp脚本到www目录,然后8080 ...
哪个路由器用asp?路由器还Windows系统的么? JuncoJet 发表于 2020-2-25 12:48
没有IPTV的路过
删配置。。。。牛掰。。。如果当地电信不下发就崩了。。。。还不如越权后写个asp脚本到www目录,然后8080打开页面调用webshell执行sendcmd去改密码。你这样会坑好多人。。。。 z532931406 发表于 2019-7-25 16:49
直接用超级管理员密码破解可以吗,用TTL刷的话,要备份配置吧,不然很容易出问题
如果是F450的话,我发的一键化工具就可以破解了 直接用超级管理员密码破解可以吗,用TTL刷的话,要备份配置吧,不然很容易出问题 硬核大佬只可观摩手残党退了,感谢分享方法。 第一楼主牛逼 ,虽然我刷废了没得刷的 期待安徽地区大佬强势登场 楼主厉害,写得详细,只是我看不明白 。 谢谢分享!等休息了尝试下:handshake 本帖最后由 20121772 于 2019-7-25 17:05 编辑
每一个汉字甚至英文字母都认识,只可惜拼在一起就不懂辽,大佬厉害的
———————————————-
想请教一下破解完之后有啥牛b的操作没