F460 V6.0.0P11T2sc 2015/11出厂版本 获取telecomadmin 密码
2017/5/22 我大概看了下评论回复,目测此方法已失效,电信的估计是看到了些啥,请大家有需要的对准版本号尝试本文方法,本文方法发布日期是 2016/11/20(当时是完全自己研究的)
场景:
当前已知的方法基本上无效
无web_shell_cmd.gch
无db_backup_cfg.xml
无manager_dev_config_t.gch
无backupsettings.conf
只要查了光纤telnet端口封闭,并主动断掉当前的tcp链接
index.gch单入口web服务
telnet方法:
拔掉光猫背后的光纤线,一定先记录好LOID,之后会用到,不过网上营业厅也可以查得到
http://192.168.1.1/hidden_version_switch.gch 选择 default version 等待重启
http://192.168.1.1/hidden_version_switch.gch 选择自己的省份 我的是Sichuan version
然后 telnet 192.168.1.1 密码网上有 root Zte521 四川的version是 Zte521@SC 这个密码和上一步你选的那个version有关
分析了一下 /home/httpd/public/index.gch 发现只有特定的gch文件才能被index.gch来IMPORT后直接访问,否则只有通过getpage.gch 来访问。因为现在的web目录是/home/httpd/public/,这尼玛还玩了个重写单入口。
其中 在switch里包含了已经删除的web_shell_cmd.gch,那就拿他做文章。由于我只要插上光纤telnet必断,网上的方法失败。尝试写个shell脚本sleep一下等LOID注册后把密码直接输出到web根目录,可惜,他把进程也杀了。
无奈,只好写个gch读取下,保存本地先,用python起个SimpleHTTPServer,好在光猫的PATH里有wget,哎,把文件wget进/home/httpd/目录,直接命名为web_shell_cmd.gch好了,毕竟已经是不存在的文件了,还能直接被引入。
代码如下:
<% IMPORT FILE "common_gch.gch"; var FP_IDENTITY, FP_HANDLE, FP_OBJNAME, FP_INSTNUM; FP_OBJNAME = "OBJ_USERINFO_ID"; FP_IDENTITY = ""; FP_INSTNUM = query_list(FP_OBJNAME, "IGD"); var name, pwd; for (var i = 0; i < FP_INSTNUM; i++) { FP_HANDLE = create_paralist(); FP_IDENTITY = query_identity(i); get_inst(FP_HANDLE, FP_OBJNAME, FP_IDENTITY); name = get_para(FP_HANDLE, "Username"); pwd = get_para(FP_HANDLE, "Password"); name = delMoreSlash(name); pwd = delMoreSlash(pwd); =name; =" - "; =pwd; ="\n"; destroy_paralist(FP_HANDLE); } %>
然后插上光纤,注册LOID,静静等待1分钟,访问http://192.168.1.1/web_shell_cmd.gch
目测其他版本雷同,自行测试。狗日的电信,留后门。
本文由Hack Blog原创,如需转载注明原文链接