破解2024年新款诺基亚贝尔万兆光猫AES加密的su密码

letum

家里的电信宽带是500M的，实测下行速度能达到625Mbps。
这个月套餐到期了，去营业厅问了问，换新版套餐宽带是1000M，于是就升级了1000M。
营业厅没提设备的事，当时也没在意，回到家把光猫重启了一下，实测下行速度800多M。
哦！这才发现光猫的网口是千兆的！虽然我的路由器全都是2.5G的万兆口，但光猫的网口是千兆的！！！
打营业厅电话总是没人接，算了，去海鲜市场淘个万兆猫吧，营业厅肯定是要求加钱升级成FTTR设备的，现在运营商在推广他们的FTTR，应该是不提供FTTH光猫。
FTTB：光纤到楼宇，然后从楼宇变成电口的网线进各个用户。B应该是building的字头，我猜。
FTTH：光纤到住宅，然后入户之后光猫变成电口，进各个房间。H应该是House的字头，我猜。
FTTR：光纤到房间，家里弱电箱一个主光猫，客厅、卧室、餐厅、阁楼什么的可以设置1-2个从光猫，家里各房间之间也都是光纤连接。
营业厅在推广FTTR，但我不需要，我家里装修时布了很多很粗的中间带十字塑料骨架的六类网线，网线用料十足，8根芯都是很粗的无氧铜，跑万兆没任何问题。所以我家里不需要主从多光猫，只需要一个光猫也就是FTTH模式就行，而且我常年桥接不需要光猫带wifi。
爬了会儿网，找到一款新出的光猫，诺基亚贝尔的XG-040G，CPU是联发科旗下的达发AN7581DT（四核A53，8核NPU），内存是DDR4-3200 512M，交换芯片是联发科的EN8811，硬件很牛，2024年新推出的，关键是光猫小巧玲珑，功耗很低（无wifi嘛），电源是12V1A的，这个年代去哪里找极限电流就1A的光猫啊！电信版本的型号是XG-040G-TF，相对于联通版本阉割了电源按钮和USB接口。海鲜市场二手的50元，全新的80元，比起动辄150靠上的FTTR子母猫们便宜多了。
因为比较新款，所以有些省份没有入库，卖家说很可能只能手工建立连接，或者修改sn成旧光猫的，手工就手工吧，花80元买了个全新的。
拿到手后没有想象中的那么小，但也不大，生产日期是2024年9月份，确实比较新款。
既然说是全新的，那么直接用电信超密登录一下吧，失败了，不是说全新的吗，为啥默认密码不行呢！
用曲别针捅住复位按钮几秒，所有指示灯一起闪几下，复位之后用电信的telecomadmin账户和默认超密nE7jA%5m登录成功。
访问http://192.168.1.1/dumpdatamodel.cgi，得到日志，复制粘贴到记事本里，搜索SuPassword，得到密码的密文，一个24个字符长度的AES加密后的字符串。
爬了会儿网，知道了诺基亚家爱用的密钥是：3D A3 73 D7 DC 82 2E 2A 47 0D EC 37 89 6E 80 D7 2C 49 B3 16 29 DD C9 97 35 4B 84 03 91 77 9E A4
原始向量是：D0 E6 DC CD A7 4A 00 DF 76 0F C0 85 11 CB 05 EA
那么来解密吧，python需要有加密解密专用的一个库pycryptodome，这是一个功能强大的密码学工具，提供了各种加密、解密、哈希和认证算法。
pip install pycryptodome
安装了加密解密库之后，照葫芦画瓢地写一小段代码：

[Python] 纯文本查看 复制代码

import base64
class RouterCrypto:
    def __init__(self):
        from Crypto.Cipher import AES
        # key and IV for AES
        key = '3D A3 73 D7 DC 82 2E 2A 47 0D EC 37 89 6E 80 D7 2C 49 B3 16 29 DD C9 97 35 4B 84 03 91 77 9E A4'
        iv  = 'D0 E6 DC CD A7 4A 00 DF 76 0F C0 85 11 CB 05 EA'
        self.cipher = AES.new(bytes(bytearray.fromhex(key)), AES.MODE_CBC, bytes(bytearray.fromhex(iv)))
    def decrypt(self, data):
        output = self.cipher.decrypt(data)
        return output[:-ord(output[-1:])]
encrypted = "这里是要解密的密文"
print(RouterCrypto().decrypt(base64.b64decode(encrypted)).decode('UTF-8'))

然后SuPassword的明文就被解密出来了，我的光猫是一个12字符的字符串。
访问http://192.168.1.1:8080/system.cgi?telnet可以在web界面点击启用按钮开启telnet服务。
然后用光猫背面贴纸上的useradmin账号和密码在telnet里登录
然后用su命令提权到root权限，密码就是刚才解密出的su密码。
用ls命令试了一下，貌似shell是残缺的，很多命令都没有，需要补全shell。
不过这个su密码是不随着点击运维按钮和下发配置而改变的，就算默认超密被下发改了之后，su密码还是不变的。

letum

懂得人生 发表于 2024-11-27 12:00
大佬，后续解决了吗？教程可以发一下

昨天晚上搞定了su密码之后，老婆喊我陪她一起看电视剧《小巷人家》，今天下班回家再继续，我们省份的电信应该是用loID来下发配置，估计今晚两个可能性：1、光猫已入库，直接用loID注册成功，完成自动下发配置。2、光猫没入库，注册失败，无法自动下发，那会有两个方案，方案一：手工配置两个连接，数据连接和iptv连接，tr069就不弄了。方案二：把之前旧光猫的sn刷进新光猫，让局端还以为是之前的旧光猫。
今晚我试一下，看会发生哪种情况。

------更新-----

下班了，开开心心地把光纤从旧猫拔下来插新猫上，超密进入web配置界面，输入逻辑ID（LoID），开始注册。
提示OLT注册成功，OK，至少可以手工建立链接来上网了！

接下来卡到30%，提示ITMS注册失败。

果然这个猫没在河北电信入库（已经把光猫的地区配置改成河北了），没关系 ，咱们手动建立因特网连接。

建了一个新链接，设置成桥接，电脑拨号，OK，显示拨号成功，打算到测速网测测网速，结果浏览器给直接转到了光猫注册的页面！

我去！光猫劫持了DNS！！！，无论什么网址，都劫持到光猫注册页面！

这也在意料之内，修改光猫的配置参数伪装成ITMS注册成功就行了。
命令如下：

[Shell] 纯文本查看 复制代码

sendcmd 1 DB set PDTCTUSERINFO 0 Status 0
sendcmd 1 DB set PDTCTUSERINFO 0 Result 1
sendcmd 1 DB save

进telnet，登录，su提权，输入命令……

我去，没有sendcmd命令！这货的shell够穷的。

打算先吃晚饭，然后看电视剧《小巷人家》，有空了再爬网怎么补全shell吧，有种不好的预感，这款光猫太新了，估计还没有大神补了它的shell。

-----继续更新-----
爬了会儿网，发现用cfgcli命令也能伪装成ITMS注册成功，试一下，这个busyBox的shell有cfgcli命令，这下子成功了。

[Shell] 纯文本查看 复制代码

cfgcli -s InternetGatewayDevice.X_CT-COM_UserInfo.Status 0
cfgcli -s InternetGatewayDevice.X_CT-COM_UserInfo.Result 1

测了一下网速，好像测速网出bug了，上传怎么跟下载对等了，应该是个bug，但上传无所谓，只要下行够千兆就好了。

好了，收工！

letum

殇。默语 发表于 2024-11-27 12:01
大佬能细说一下，爬了会儿网 是怎么爬的吗？

挂上梯子，谷歌搜索，然后在搜索结果里来回爬着翻看网页，最后爬到了https://gist.github.com/thedroidgeek/80c379aa43b71015d71da130f85a435a
这个git项目，下载了项目里的nokia-router-cfg-tool.py文件，参考其中的核心解密AES的部分照葫芦画瓢写个解码。

bfbzfbz

这个问题一直困扰着我，我家里也是电信千兆网速，光猫也是千兆的，路由器是小米2500兆的。在速度这块一直跑不满，请问更换成万兆光猫后使用上有没有什么影响？

Miracle0927

背景介绍的很详细

CrystalSXY

学习下大佬的经验

懂得人生

大佬，后续解决了吗？教程可以发一下

殇。默语

大佬能细说一下，爬了会儿网 是怎么爬的吗？

zyh5028

厉害呀，学习了

dork

你就不能补齐吗？强迫症又犯了的我：
FTTR：光纤到房间，家里弱电箱一个主光猫，客厅、卧室、餐厅、阁楼什么的可以设置1-2个从光猫，家里各房间之间也都是光纤连接。R应该是Room的字头，我猜。

edgrdg

我很赞同！

yndoc

dork 发表于 2024-11-27 12:06
你就不能补齐吗？强迫症又犯了的我：
FTTR：光纤到房间，家里弱电箱一个主光猫，客厅、卧室、餐厅 ...

666，我就服你！