中兴光猫 ZXHN F450 3.0 漏洞分析与利用以及破解

JuncoJet

最近家里宽带升级了200M，于是某信以我的老光猫（烽火某型号）不支持为由，给我换了新的光猫。说实话还是有点不舍得的，毕竟老的光猫是没有无线的（个人觉得这是个累赘，家里已经装了UBNT的AP覆盖，而且也会增加光猫的功耗，最关键我的老光猫是破解的，出入管理界面自由）。然后就对破解光猫有了新的认识，比如什么是LOID啊，什么是ITMS啊，巴拉巴拉。

ZXHN F450 3.0的光猫，应该是江苏这里主流的新款光猫吧，我尝试了网上流传的所有破解方法，无一能成功的。所以就自己分析可能存在的漏洞，然后尝试利用并且破解。虽说现在回想以及使用漏洞破解轻而易举，但当初（3天前）想破乳头（乳就是小的意思）都找不出解决的办法，不过整个的破解过程还是需要唠叨一下的，毕竟这样才显得博学（误，对破解其他光猫会有很大的帮助，因为我用其他的方式，又破解了一台华为HG8145C 2.0的光猫，对于老光猫的话这些老方法还是很有效的。

1.        光猫到手我就拆了，因为知道破解光猫最终极方法就是TTL大法，于是我找出年代久远的CH341 土豪金编程器，跳线帽调至TTL模式，杜邦线接到光猫。以我多年PCB Layout经验，热焊盘的是GND，粗线的是VCC，另外两个可能是TX/RX，然后接上。Putty打开串口，打开光猫，出来了期待的文字，一脸果然如此的神情浮现在楼主稚嫩而精致的小脸上（窜线了。然后……然而……等到画面停止跳动，光猫完全启动，发现怎么按回车或是ESC都不能弹出登录界面？难不成线没接好，再重启，然后不断的按ESC，终于我进入了一个叫UBOOT的界面（就是小米手机刷机那个FASTBOOT，哦不对），反正就是用来引导系统启动，并且提供了一些基础的功能比如刷机，升级，重置之类的功能。然后我稍微尝试了一下（其实比较久，可以通过TFTP更新固件，然而手头没有合法的固件，貌似需要CRC32之类的校验合法性，所以刷不进。并且虽然提供了ls命令，但无法进目录里查看，只能查看根目录，其他的话基本都是内存读写NAND FLASH（闪存）读写之类，没有对文件系统结构具体的地址进行展示，就算是能读写NAND但不知道地址，胡乱写入只会让光猫变砖，变砖后虽然可以换新猫，但有拆卸过的痕迹怕是到时候需要好好解释（狡辩）一番的了。此方法就此告罢。



IC上的散热器胶很牢，用拆焊台加热240℃，中等头，吹个10多秒钟，然后拆下。




蛤，一波操作后比较乱。
2.        拔光纤，长按reset按钮重置机器。貌似没啥效果，只能起到重启的效果，没啥P用。
3.        通过网上流传的，重置光猫地址，切换地区方法来强制清空机器数据，从而破解光猫的原始管理密码。不过貌似是失败了，主要原因，该功能已全部设置了密码保护，只有拥有密码的管理员才能对机器进行上述的操作。

4.        研究U盘管理功能，是否可能存在权限访问U盘路径以外的其他路径。以/etc为例，使用HTTP调试工具Fiddler进行参数的改写。列出/etc目录下的文件，这个操作有点慢，因为这个目录下文件有点多，我都以为失败了，结果列出来了一大堆的数据。然后我再尝试了获取/etc/password、/etc/shadow文件，拷贝到U盘中，结果能成功（这个部分没啥用，因为我没法Telnet也没法TTL登录进路由器）。再做了一些测试，和网上流传的说法/userconfig/cfg目录下是存放光猫配置的，我尝试把这个目录下的配置文件拷贝到U盘，然后打开文件，很遗憾xml被加密了。看文件的结构，应该是比较严谨的加密，但还是怀着试试看的心态写了个XOR暴力穷举程序，试试看会不会不像表面上那么难。但结果比较遗憾，和表面上看上去一样的强（穷举程序代码如下，可以附件中下载）。



列出配置文件，如果你只是要破解光猫，直接删除掉这些配置文件就行了，如下图


导出的配置文件

使用XOR暴力穷举，尝试破解
5.        久违的无法上网，等我破解了超管权限之后，我竟然无法上网了。猜想可能配置文件丢失，可能重置一遍机器就会好的，所以就彻底重置机器，然后再试。不试不知道，一试吓一跳，我竟然3天都没搞定，一直无法上网。用手机百度了无数个帖子，发现貌似有个叫LOID（中文名宽带识别码，逻辑ID）的东西。仔细查看发现疑似被重置掉了，网上有说法说可以找某信可以要，于是就打电话给某信，我已经明确的说宽带识别码了，但是客服却不肯给我，非要安排个小哥上门。上门就上门吧，不带怕的，虽然机器还裸体着……某信小哥上门就给输了码，成功的上网。但我是个不信邪的人啊，对于出现的问题刨根问底才能在逆境中成长，我深知这个道理。所以我又把光猫给破解了一次（采用第4种方法），破解后重启进入光猫，我果然看到了LOID，并自行的保存好以备用。然后我又重置了机器，自信满满的输入了LOID，并且成功的没法上网。我当时就窝了一个艹，怎么回事？登录进管理界面发现ITMS注册不了，这个东西疑似是需要某信在系统上登记的，需要下发。不黑进某信的系统，是没法进行下发操作啊……这么想着，又一天过去了。我就收了两个旧猫。如下图，当是的猜测是这样的，可能老猫不需要ITMS注册，网上搜索结果来看，很多老猫用户ITMS没有注册就成功的上网了。于是倒腾起了华为HG8145C光猫来。


注意上图和下图LOID区别


6.        一言不合就开盖，HG8145C的盖比F450难拆不止一点点，F450可以几乎无损的拆开，但是8145拆开还是断了不少的脚的。好在外部没有什么拆卸痕迹（对于一个外观DANG，我不忍心看到一点瑕疵），拆开后看到主板上有5个接口，看着像串口。凭借多年PCB Layout经验，秒区分出了VCC GND TX RX（就是这么流弊，我能说啥），但是接上串口疑似没啥反应，用新买的钳形表（只是突出个性，普通万用表也行），测得电压只有TX RX 口40mV，一般来说TX RX的电压都在3.2V才是正常的。于是找板子上的布线，发现TX RX少了两个电阻。测量电阻的前端，电压得到3.2V，懒得补上电阻（0402的电阻我也没有啊，还要去买），直接飞线接出。接上我的CH341土豪金，完美的得到tty，久违的登录界面出现了，但是root的密码admin却不对。求助chinadsl上的大佬得到了adminHW这个密码成功的登录进去。按照网上的教程备份配置文件之类的命令全被和谐了，shell里面也就少的可怜的两个命令，其中一个还是exit。唉，只能自己研究，研究发现WAP模式下，可以restore_factory，重启后成功的通过telecomadmin nE7jA%5m成功的登录进了管理界面。



留了后门的HG8145C

7.        为全新的HG8145C（重置完了啥也没有）绑定LOID，输入后没过多久，我就注册上了。系统界面上显示OLT和ITMS都注册通过了。当时我又是一个我了个艹，难道说老光猫容易破解？或者说不需要特定的注册？？然后我又试回了F450光猫，一波操作之后也能够上网了。这就似乎有点诡异，经过一波研究并且结合百度上大家的说法，猜测可能光猫在某信的系统上只能被绑一次。同一个光猫同一个终端接口（光纤接入）需要某信解绑后才能重新注册使用，但是换来了光猫之后会自动重新绑定新光猫。所有这就是我用了HG8125C后再F450也能上网，单单使用F450却怎么重置，怎么注册都上不了网。如果手头只有一台光猫的小伙伴们，你们可能只能找某信小哥上门帮解绑重新注册牢哟。这个部分我就不截图牢，上网谁不会，噗。

关于ZXHN F450 3.0的漏洞，应该是权限不明确，WEB SERVER运行在root权限下导致的，同样的漏洞在华为的机器上却没有。因为看过华为的机器，对权限设置的非常的严谨，并且在登录认证上也很复杂，密码输入超过次数后都会被锁定，并且无法修改disable属性来强制的提交。中兴的机器，只能说一般。但是TTL、Telnet等都彻底阉割干净了，所以很少有可以利用的漏洞，目前作者就发现这个唯一一个可以利用的漏洞。其本上全球首创。对于某信需要修正这个漏洞也是很容易的，直接做个路径匹配，轻轻松松的就解决了。但个人来说还是（不）希望某信修正的，这样的话可以多学习一些知识，写出更流弊的破文（噗

根据作者的亲身经历，研究心得，开发了一键化破解工具（详见附件），如果是F450 3.0江苏版的用户你们有福了哟。

或者想学习整个破解过程手动破解的，也可以看我自己录制的教学视频，视频地址：https://pan.baidu.com/s/11eaIchIJYjARr4UC38Zl4A 提取码：xhm9

smile1110

拆了光猫看了一下主板上面的固件还原重置点位 , 最后还是用的符合中兴2 3 4代光猫,通用超级密码,为嘛不直接用中兴没有屏蔽的telnet 连接,伪造地址并打开后,然后用光猫下面低权限的账号密码连入,读配置文件,像telecomadmin nE7jA%5m这种通用的root账号,一般区域 电信和联通运营商并不会从配置中删除这块,直接读root账号即可.结饶了这麽大一个圈,就用了别人提供的root账号和密码.,我精通ccs,计算机电气化的全部分支.只是不认为嵌入式跟5G通讯以及电气自动化等其它的硬件逆向是ctf方面的的未来,因为在两年之前的国外大佬的普遍探索,因为大气层计划人才辈出,导致跳过了play station 为代表的嵌入式这块,现在的cracker的逆向工程因为六七八代cpu没有本质换代问题,当然极客也是想要屏蔽14nm+++++工艺的引脚来用旧主板,,焦点普遍在cpu的漏洞和物联网漏洞这块,你以为我在说废话,实质上,两年前直接cracker绝大部分精锐已经跳过了计算机电气化这个过程,这跟计算机科学的基础电子无关,嵌入式的研究在国内大的论坛也有,恩山,迅维,chiphell.而这篇文章的程度在这些地方旧能体现说程度多低.只是ccs并非re的未来.另外spdif那篇文章spdif 本身就是高清音频光纤线,起了一个无比猖獗的题目,这篇文章饶了这麽大一个圈,就用了别人提供的root账号和密码.毫不夸张的概论剽窃加吹嘘,是欺我吾爱无人?两篇文章程度之低,令我辈汗颜,拉黑不解释.这篇文章还远不到ccs的门槛,长篇累牍,废话连篇.以这两篇文章的标题,怕不是以为要推进re到上面这两年聚焦的最前沿的领域,既然空洞无物,有名无实.
那么写这篇文章的意义何在呢?为了维护吾爱的公正性我才开喷,并对上面这番话负责

老脸通红

首先楼主是用的依旧是EPON而不是现在的GPON，EPON的带宽速率要低于GPON的。
因为已经是200M宽带，那么就需要设备有千兆网口，老光猫不支持很正常，否则你200M的带宽能使用的速率依旧是100M的上限。
其次楼主家是FTTH接入，从二级分光出来的，1台分光器搭载8个用户，你和其他7名用户的逻辑ID都是相同并恒定的。这是因为电信在当初二级分光器挂测的时候就锁死了，你的逻辑ID就是OLT下挂的PON口（至少电信一定是这个），例如PON口为1-5-3，那么你和其他同一分光器的7名用户的逻辑ID就一定是0503，改了就不能上网了。所以其实有了超管密码，能动的只有改桥接或者路由模式，其他数据改了都会上不了网，你改的我们称为ONU数据，一旦ONU数据变化就会造成ONU到ODN再到上联OLT的数据不一致，然后上不了网。
要获取你的逻辑ID你只用和负责你家宽带的装维师傅联系，他们都有这信息的，不过在我看来，超管密码的实际意义并不大。

百叶儿

写的很好 那些itms  ，loid  ，感觉破解没啥用啊 ，我就是电信的 ，哪里的保密 ，光猫超级管理员密码 我们这只要恢复出厂一次就会被重置，而且我有查看管理密码的权限，loid 权限，上网宽带改密码的权限我也有，现在的老猫和新猫后台上网的数据是不一样的，如果用老猫直接换新猫 很多时候是上不去网的，新猫换老猫倒是可以上网

雷帝彬

别乱搞，这个破解是破解了 会破坏中国电信下发的配置参数，iptv直接残废

电信预留可以跑到300m 破解之后 网速200m都不到了，这个破解存在严重问题

至少湖南地区的是这样，v2.0.3 p1t1版本，能破解，但是破解后 iptv 参数异常，网速暴降

没办法 找到本地装维 恢复出厂 拿到loid 重新注册，才完全正常

bluespan

解压密码是：LOVEJJ

JuncoJet

吴壮壮 发表于 2019-7-25 16:57
电信的路过，换光猫有时需要PON注册，或ITSM解绑的

我这里两台互换着绑可以，但同一台机器没法绑两次

JuncoJet

anysoft 发表于 2020-2-25 16:30
删配置。。。。牛掰。。。如果当地电信不下发就崩了。。。。还不如越权后写个asp脚本到www目录，然后8080 ...

哪个路由器用asp？路由器还Windows系统的么？

anysoft

JuncoJet 发表于 2020-2-25 12:48
没有IPTV的路过

删配置。。。。牛掰。。。如果当地电信不下发就崩了。。。。还不如越权后写个asp脚本到www目录，然后8080打开页面调用webshell执行sendcmd去改密码。你这样会坑好多人。。。。

JuncoJet

z532931406 发表于 2019-7-25 16:49
直接用超级管理员密码破解可以吗，用TTL刷的话，要备份配置吧，不然很容易出问题

如果是F450的话，我发的一键化工具就可以破解了

z532931406

直接用超级管理员密码破解可以吗，用TTL刷的话，要备份配置吧，不然很容易出问题

lao_jin

硬核大佬只可观摩手残党退了，感谢分享方法。

ziye子夜子夜

第一  楼主牛逼 ，虽然我刷废了没得刷的

懵智呀

期待安徽地区大佬强势登场

ivanlong

楼主厉害，写得详细，只是我看不明白 。

sz_panda

谢谢分享！等休息了尝试下

20121772

每一个汉字甚至英文字母都认识，只可惜拼在一起就不懂辽，大佬厉害的
———————————————-
想请教一下破解完之后有啥牛b的操作没