2017/5/22 我大概看了下评论回复，目测此方法已失效，电信的估计是看到了些啥，请大家有需要的对准版本号尝试本文方法，本文方法发布日期是 2016/11/20（当时是完全自己研究的）

场景：

当前已知的方法基本上无效

1. 无web_shell_cmd.gch

2. 无db_backup_cfg.xml

3. 无manager_dev_config_t.gch

4. 无backupsettings.conf

5. 只要查了光纤telnet端口封闭，并主动断掉当前的tcp链接

6. index.gch单入口web服务

telnet方法：

拔掉光猫背后的光纤线，一定先记录好LOID，之后会用到，不过网上营业厅也可以查得到

http://192.168.1.1/hidden_version_switch.gch 选择 default version 等待重启 

http://192.168.1.1/hidden_version_switch.gch 选择自己的省份 我的是Sichuan version

然后 telnet 192.168.1.1 密码网上有 root Zte521 四川的version是 Zte521@SC 这个密码和上一步你选的那个version有关

分析了一下 /home/httpd/public/index.gch 发现只有特定的gch文件才能被index.gch来IMPORT后直接访问，否则只有通过getpage.gch 来访问。因为现在的web目录是/home/httpd/public/，这尼玛还玩了个重写单入口。

其中 在switch里包含了已经删除的web_shell_cmd.gch，那就拿他做文章。由于我只要插上光纤telnet必断，网上的方法失败。尝试写个shell脚本sleep一下等LOID注册后把密码直接输出到web根目录，可惜，他把进程也杀了。

无奈，只好写个gch读取下，保存本地先，用python起个SimpleHTTPServer，好在光猫的PATH里有wget，哎，把文件wget进/home/httpd/目录，直接命名为web_shell_cmd.gch好了，毕竟已经是不存在的文件了，还能直接被引入。

代码如下：

<% 
IMPORT FILE "common_gch.gch";
var FP_IDENTITY, FP_HANDLE, FP_OBJNAME, FP_INSTNUM;
FP_OBJNAME = "OBJ_USERINFO_ID";
FP_IDENTITY = "";

FP_INSTNUM = query_list(FP_OBJNAME, "IGD");

var name,
pwd;
for (var i = 0; i < FP_INSTNUM; i++) {
	FP_HANDLE = create_paralist();
	FP_IDENTITY = query_identity(i);
	get_inst(FP_HANDLE, FP_OBJNAME, FP_IDENTITY);
	name = get_para(FP_HANDLE, "Username");
	pwd = get_para(FP_HANDLE, "Password");
	name = delMoreSlash(name);
	pwd = delMoreSlash(pwd);
	=name;
	=" - ";
	=pwd;
	="\n";
	destroy_paralist(FP_HANDLE);
}

%>

然后插上光纤，注册LOID，静静等待1分钟，访问http://192.168.1.1/web_shell_cmd.gch

目测其他版本雷同，自行测试。狗日的电信，留后门。

本文由Hack Blog原创,如需转载注明原文链接