2.5G电口的光猫中兴F7607P开telnet

cipsauer

无时效性，已删除

cipsauer

mpls 发表于 2022-9-6 14:33
实测不行

我也只是看别人提过，没有实测

cipsauer

yufeiyuejs 发表于 2022-9-6 15:02
500整的话能不能pm个链接，也想买一个

闲鱼找找，河南联通定制550的一堆，我500买的二手的

cipsauer

mpls 发表于 2022-9-6 18:17
哪里看到的说能接2.5g电口模块？

某个闲鱼卖家说的，我自己没头子测试

cipsauer

futurejl 发表于 2022-9-6 20:34
通电状态捅RESET，捅30秒，再看看TELNET能连接了不？ TELNET密码还是要通过配置文件查，jarvisw破解选F450V ...

拔了光纤捅了很久也不管用，但应该没有30秒那么久，明天家人不用网的时候我再试试30秒。jarvisw它页面上所有的型号试了一遍都解不了密

cipsauer

xks07 发表于 2022-9-6 20:22
这个猫好像可以和中兴的路由器组mesh？

wifi设置界面倒是有mesh开关，但我没其他中兴的路由器测试组网

cipsauer

futurejl 发表于 2022-9-7 08:19
jarvisw 有个邮箱的，应该是  你发个邮件给他可以帮你看看的

已发，但是看他网站最近半年都没有活动的迹象，可能没搞这些了

cipsauer

sby2000 发表于 2022-9-7 09:23
加密文件 一般只是头文件换了而已 其他的加密方式不变的  还是可以正常解密的  发出来吧 帮你看看 ...

谢谢，论坛传不了附件，请通过这里下载配置文件 https://www.swisstransfer.com/d/44b9e507-9f5c-4c34-8979-c0791706ce4f

cipsauer

futurejl 发表于 2022-9-6 20:34
通电状态捅RESET，捅30秒，再看看TELNET能连接了不？ TELNET密码还是要通过配置文件查，jarvisw破解选F450V ...

今天又试了下捅了30秒到一分多钟，还是不行

cipsauer

sby2000 发表于 2022-9-7 11:09
看了 格式里面没问题 不知道保存的时候 数据有问题没得 最后解密解压的时候 数据不对 ...

谢谢，我又把优盘格式化成NTFS，光猫重置后重置配置的，导出新的配置文件，直接放到压缩包的，没有用任何工具打开过。请大神再看看。

https://www.swisstransfer.com/d/44501be3-190f-4333-9181-b4014f14df84

cipsauer

sby2000 发表于 2022-9-7 11:19
这个文件大小都不一样了，我看看

大小不一样应该是因为我中间重置过光猫，重新手动配置过

cipsauer

trowa8509 发表于 2022-9-7 11:33
有光猫的固件吗？

没有，有点想拆开接ttl看能不能进shell或者uboot提取固件，但有封条，拆了影响以后卖出

cipsauer

sby2000 发表于 2022-9-7 11:19
这个文件大小都不一样了，我看看

搜到这篇文章：https://reverseengineering.stackexchange.com/questions/11626/zte-encrypted-backup-config-file

说配置文件header以外的部分是aes ecb加密的，而aes key硬编码在光猫的cspd这个进程中，要得到key就得先得到固件

cipsauer

sby2000 发表于 2022-9-7 13:29
不带无线款的f7010 却可以顺利成功 不知道这款了

固件版本应该不一样，F7607P是最新的

cipsauer

trowa8509 发表于 2022-9-7 12:43
TTL上去能拿到shell的话，可以把这个二进制包dump出来。

接ttl能不能进shell还未知，uboot里能不能tftp上传也未知

cipsauer

trowa8509 发表于 2022-9-7 13:45
实在不行还可以编程器提固件。
你可以尝试和客服沟通看能不能拿到一个固件，曾经有成功案例。
不过固件也 ...

编程器就大大超出我的能力范围了，刚想拆开看看的，取下来发现外壳是卡扣设计的，中间大标签下面还有颗隐藏螺丝，放弃了，破坏性太大，等别人来吧

cipsauer

trowa8509 发表于 2022-9-7 14:22
你可以尝试给客服发邮件，就说光猫不稳定，看能否提供一个固件刷新试试。 ...

感觉这个可能性太低了

cipsauer

闲鱼买了个卖家自称支持F4607P/F7607P的中兴ONUtelnet 1.50这个软件，发现只是用jarvis的factorymode_crack v2重新包装了下，所以还是开不了telnet。抓包可以看到这个工具的原理是向光猫的隐藏配置地址/webFac发送特定请求，可以使用curl模拟

1. curl -i -X POST -H 'Cookie: user=' -d 'RequestFactoryMode.gch' 'http://192.168.1.1/webFac'
   
2. curl: (52) Empty reply from server

复制代码

光猫没有任何回应，说明要么地址或者请求内容改了，要么完全去掉了

cipsauer

天道太酬勤 发表于 2022-9-7 22:51
有没有改成10G Epon的可能性

能进telnet应该就可以

cipsauer

shagua517 发表于 2022-9-7 22:16
接了2.5光转点，光猫系统里可以认到，但是实测永不了

vlan绑定那里默认给lan5绑定了vlan id 400，你看看你的，把绑定删掉再试试

cipsauer

lovezhiqi 发表于 2022-9-8 03:21
被标题忽悠进来的，还以为你能开telnet了

一起探索

cipsauer

pdww269hit 发表于 2022-9-8 15:02
我有工具，但是只能在我电脑上用...我把User升级为管理员权限，并去掉了CMCC后缀，同样的，用telnet工具可 ...

请问可否发我看下能不能逆向分析原理或者隐藏接口，或者提供下获取渠道

cipsauer

pdww269hit 发表于 2022-9-8 15:12
这个猫得用1.6版本的Telnet工具，目前没破解版，我也是跟ZTE要的license，绑定机器硬件的，所以没办法共享 ...

那请问可以在你电脑上运行wireshark抓包看下隐藏的配置地址和命令吗

cipsauer

shagua517 发表于 2022-9-8 17:28
好的，晚上回去试试看

有结果了吗，好奇

cipsauer

edited  

cipsauer

edited  

cipsauer

没有chiphell账号的人如果看到这个帖子想要参与的话可以在这里在线聊天：https://stin.to/u5xdx

cipsauer

闲鱼已出现开telnet改10g epon的服务，真是快

cipsauer

chh不能上传文件，闪存备份上传到了这里：http://www.chinadsl.net/forum.php?mod=viewthread&tid=172458

cipsauer

1. sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1
   
2. sendcmd 1 DB set TelnetCfg 0 TS_UName root
   
3. sendcmd 1 DB set TelnetCfg 0 TSLan_UName root
   
4. sendcmd 1 DB set TelnetCfg 0 TS_UPwd Zte521
   
5. sendcmd 1 DB set TelnetCfg 0 TSLan_UPwd Zte521
   
6. sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 999999
   
7. sendcmd 1 DB set TelnetCfg 0 WanWebLinkToTS 1
   
8. sendcmd 1 DB set TelnetCfg 0 ExitTime 99999999
   
9. sendcmd 1 DB set TelnetCfg 0 CloseServerTime 99999999
   
10. sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3
    
11. sendcmd 1 DB save
    
12. reboot
    

复制代码

InitSecLvl猜测是控制root用户名权限的，山东移动定制版默认为3，河南联通为0，河南联通的root账户登陆后运行很多命令都权限不足，改为3后正常
另外不建议改地区和自动下发配置，会运行一堆没用的间谍插件，改地区后的默认配置和下发后的新配置可能会再次关闭telnet，改掉超密。超密被改掉后即使telnet登陆后用sendcmd命令查看也只会显示星号