日常笔记

F460 V6.0.0P11T2sc 2015/11出厂版本 获取telecomadmin 密码

2017/5/22 我大概看了下评论回复,目测此方法已失效,电信的估计是看到了些啥,请大家有需要的对准版本号尝试本文方法,本文方法发布日期是 2016/11/20(当时是完全自己研究的)

场景:

当前已知的方法基本上无效

  1. 无web_shell_cmd.gch
  2. 无db_backup_cfg.xml
  3. 无manager_dev_config_t.gch
  4. 无backupsettings.conf
  5. 只要查了光纤telnet端口封闭,并主动断掉当前的tcp链接
  6. index.gch单入口web服务

telnet方法:

拔掉光猫背后的光纤线,一定先记录好LOID,之后会用到,不过网上营业厅也可以查得到

http://192.168.1.1/hidden_version_switch.gch 选择 default version 等待重启

http://192.168.1.1/hidden_version_switch.gch 选择自己的省份 我的是Sichuan version

然后 telnet 192.168.1.1 密码网上有 root Zte521 四川的version是 Zte521@SC 这个密码和上一步你选的那个version有关

分析了一下 /home/httpd/public/index.gch 发现只有特定的gch文件才能被index.gch来IMPORT后直接访问,否则只有通过getpage.gch 来访问。因为现在的web目录是/home/httpd/public/,这尼玛还玩了个重写单入口。

其中 在switch里包含了已经删除的web_shell_cmd.gch,那就拿他做文章。由于我只要插上光纤telnet必断,网上的方法失败。尝试写个shell脚本sleep一下等LOID注册后把密码直接输出到web根目录,可惜,他把进程也杀了。

无奈,只好写个gch读取下,保存本地先,用python起个SimpleHTTPServer,好在光猫的PATH里有wget,哎,把文件wget进/home/httpd/目录,直接命名为web_shell_cmd.gch好了,毕竟已经是不存在的文件了,还能直接被引入。

<% 
IMPORT FILE "common_gch.gch";
var FP_IDENTITY, FP_HANDLE, FP_OBJNAME, FP_INSTNUM;
FP_OBJNAME = "OBJ_USERINFO_ID";
FP_IDENTITY = "";

FP_INSTNUM = query_list(FP_OBJNAME, "IGD");

var name,
pwd;
for (var i = 0; i < FP_INSTNUM; i++) {
    FP_HANDLE = create_paralist();
    FP_IDENTITY = query_identity(i);
    get_inst(FP_HANDLE, FP_OBJNAME, FP_IDENTITY);
    name = get_para(FP_HANDLE, "Username");
    pwd = get_para(FP_HANDLE, "Password");
    name = delMoreSlash(name);
    pwd = delMoreSlash(pwd);
    =name;
    =" - ";
    =pwd;
    ="\n";
    destroy_paralist(FP_HANDLE);
}

%>

然后插上光纤,注册LOID,静静等待1分钟,访问http://192.168.1.1/web_shell_cmd.gch

发表评论

Captcha Code