首页 安全文摘 漏洞分析 正文

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解

最近家里宽带升级了200M,于是某信以我的老光猫(烽火某型号)不支持为由,给我换了新的光猫。说实话还是有点不舍得的,毕竟老的光猫是没有无线的(个人觉得这是个累赘,家里已经装了UBNT的AP覆盖,而且也会增加光猫的功耗,最关键我的老光猫是破解的,出入管理界面自由)。然后就对破解光猫有了新的认识,比如什么是LOID啊,什么是ITMS啊,巴拉巴拉。 ZXHN F4

最近家里宽带升级了200M,于是某信以我的老光猫(烽火某型号)不支持为由,给我换了新的光猫。说实话还是有点不舍得的,毕竟老的光猫是没有无线的(个人觉得这是个累赘,家里已经装了UBNT的AP覆盖,而且也会增加光猫的功耗,最关键我的老光猫是破解的,出入管理界面自由)。然后就对破解光猫有了新的认识,比如什么是LOID啊,什么是ITMS啊,巴拉巴拉。 

ZXHN F450 3.0的光猫,应该是江苏这里主流的新款光猫吧,我尝试了网上流传的所有破解方法,无一能成功的。所以就自己分析可能存在的漏洞,然后尝试利用并且破解。虽说现在回想以及使用漏洞破解轻而易举,但当初(3天前)想破乳头(乳就是小的意思)都找不出解决的办法,不过整个的破解过程还是需要唠叨一下的,毕竟这样才显得博学(误,对破解其他光猫会有很大的帮助,因为我用其他的方式,又破解了一台华为HG8145C 2.0的光猫,对于老光猫的话这些老方法还是很有效的。 

1.        光猫到手我就拆了,因为知道破解光猫最终极方法就是TTL大法,于是我找出年代久远的CH341 土豪金编程器,跳线帽调至TTL模式,杜邦线接到光猫。以我多年PCB Layout经验,热焊盘的是GND,粗线的是VCC,另外两个可能是TX/RX,然后接上。Putty打开串口,打开光猫,出来了期待的文字,一脸果然如此的神情浮现在楼主稚嫩而精致的小脸上(窜线了。然后……然而……等到画面停止跳动,光猫完全启动,发现怎么按回车或是ESC都不能弹出登录界面?难不成线没接好,再重启,然后不断的按ESC,终于我进入了一个叫UBOOT的界面(就是小米手机刷机那个FASTBOOT,哦不对),反正就是用来引导系统启动,并且提供了一些基础的功能比如刷机,升级,重置之类的功能。然后我稍微尝试了一下(其实比较久,可以通过TFTP更新固件,然而手头没有合法的固件,貌似需要CRC32之类的校验合法性,所以刷不进。并且虽然提供了ls命令,但无法进目录里查看,只能查看根目录,其他的话基本都是内存读写NAND FLASH(闪存)读写之类,没有对文件系统结构具体的地址进行展示,就算是能读写NAND但不知道地址,胡乱写入只会让光猫变砖,变砖后虽然可以换新猫,但有拆卸过的痕迹怕是到时候需要好好解释(狡辩)一番的了。此方法就此告罢。

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第1张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第2张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第3张

 
IC上的散热器胶很牢,用拆焊台加热240℃,中等头,吹个10多秒钟,然后拆下。

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第4张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第5张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第6张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第7张

 
蛤,一波操作后比较乱。
2.        拔光纤,长按reset按钮重置机器。貌似没啥效果,只能起到重启的效果,没啥P用。
3.        通过网上流传的,重置光猫地址,切换地区方法来强制清空机器数据,从而破解光猫的原始管理密码。不过貌似是失败了,主要原因,该功能已全部设置了密码保护,只有拥有密码的管理员才能对机器进行上述的操作。

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第8张

 
4.        研究U盘管理功能,是否可能存在权限访问U盘路径以外的其他路径。以/etc为例,使用HTTP调试工具Fiddler进行参数的改写。列出/etc目录下的文件,这个操作有点慢,因为这个目录下文件有点多,我都以为失败了,结果列出来了一大堆的数据。然后我再尝试了获取/etc/password、/etc/shadow文件,拷贝到U盘中,结果能成功(这个部分没啥用,因为我没法Telnet也没法TTL登录进路由器)。再做了一些测试,和网上流传的说法/userconfig/cfg目录下是存放光猫配置的,我尝试把这个目录下的配置文件拷贝到U盘,然后打开文件,很遗憾xml被加密了。看文件的结构,应该是比较严谨的加密,但还是怀着试试看的心态写了个XOR暴力穷举程序,试试看会不会不像表面上那么难。但结果比较遗憾,和表面上看上去一样的强(穷举程序代码如下,可以附件中下载)。

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第9张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第10张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第11张

 
列出配置文件,如果你只是要破解光猫,直接删除掉这些配置文件就行了,如下图

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第12张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第13张

 
导出的配置文件

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第14张

 
使用XOR暴力穷举,尝试破解
5.        久违的无法上网,等我破解了超管权限之后,我竟然无法上网了。猜想可能配置文件丢失,可能重置一遍机器就会好的,所以就彻底重置机器,然后再试。不试不知道,一试吓一跳,我竟然3天都没搞定,一直无法上网。用手机百度了无数个帖子,发现貌似有个叫LOID(中文名宽带识别码,逻辑ID)的东西。仔细查看发现疑似被重置掉了,网上有说法说可以找某信可以要,于是就打电话给某信,我已经明确的说宽带识别码了,但是客服却不肯给我,非要安排个小哥上门。上门就上门吧,不带怕的,虽然机器还裸体着……某信小哥上门就给输了码,成功的上网。但我是个不信邪的人啊,对于出现的问题刨根问底才能在逆境中成长,我深知这个道理。所以我又把光猫给破解了一次(采用第4种方法),破解后重启进入光猫,我果然看到了LOID,并自行的保存好以备用。然后我又重置了机器,自信满满的输入了LOID,并且成功的没法上网。我当时就窝了一个艹,怎么回事?登录进管理界面发现ITMS注册不了,这个东西疑似是需要某信在系统上登记的,需要下发。不黑进某信的系统,是没法进行下发操作啊……这么想着,又一天过去了。我就收了两个旧猫。如下图,当是的猜测是这样的,可能老猫不需要ITMS注册,网上搜索结果来看,很多老猫用户ITMS没有注册就成功的上网了。于是倒腾起了华为HG8145C光猫来。

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第15张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第16张

 
注意上图和下图LOID区别

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第17张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第18张

 
6.        一言不合就开盖,HG8145C的盖比F450难拆不止一点点,F450可以几乎无损的拆开,但是8145拆开还是断了不少的脚的。好在外部没有什么拆卸痕迹(对于一个外观DANG,我不忍心看到一点瑕疵),拆开后看到主板上有5个接口,看着像串口。凭借多年PCB Layout经验,秒区分出了VCC GND TX RX(就是这么流弊,我能说啥),但是接上串口疑似没啥反应,用新买的钳形表(只是突出个性,普通万用表也行),测得电压只有TX RX 口40mV,一般来说TX RX的电压都在3.2V才是正常的。于是找板子上的布线,发现TX RX少了两个电阻。测量电阻的前端,电压得到3.2V,懒得补上电阻(0402的电阻我也没有啊,还要去买),直接飞线接出。接上我的CH341土豪金,完美的得到tty,久违的登录界面出现了,但是root的密码admin却不对。求助chinadsl上的大佬得到了adminHW这个密码成功的登录进去。按照网上的教程备份配置文件之类的命令全被和谐了,shell里面也就少的可怜的两个命令,其中一个还是exit。唉,只能自己研究,研究发现WAP模式下,可以restore_factory,重启后成功的通过telecomadmin nE7jA%5m成功的登录进了管理界面。

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第19张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第20张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第21张

 

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第22张

 
留了后门的HG8145C

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第23张

 
7.        为全新的HG8145C(重置完了啥也没有)绑定LOID,输入后没过多久,我就注册上了。系统界面上显示OLT和ITMS都注册通过了。当时我又是一个我了个艹,难道说老光猫容易破解?或者说不需要特定的注册??然后我又试回了F450光猫,一波操作之后也能够上网了。这就似乎有点诡异,经过一波研究并且结合百度上大家的说法,猜测可能光猫在某信的系统上只能被绑一次。同一个光猫同一个终端接口(光纤接入)需要某信解绑后才能重新注册使用,但是换来了光猫之后会自动重新绑定新光猫。所有这就是我用了HG8125C后再F450也能上网,单单使用F450却怎么重置,怎么注册都上不了网。如果手头只有一台光猫的小伙伴们,你们可能只能找某信小哥上门帮解绑重新注册牢哟。这个部分我就不截图牢,上网谁不会,噗。

关于ZXHN F450 3.0的漏洞,应该是权限不明确,WEB SERVER运行在root权限下导致的,同样的漏洞在华为的机器上却没有。因为看过华为的机器,对权限设置的非常的严谨,并且在登录认证上也很复杂,密码输入超过次数后都会被锁定,并且无法修改disable属性来强制的提交。中兴的机器,只能说一般。但是TTL、Telnet等都彻底阉割干净了,所以很少有可以利用的漏洞,目前作者就发现这个唯一一个可以利用的漏洞。其本上全球首创。对于某信需要修正这个漏洞也是很容易的,直接做个路径匹配,轻轻松松的就解决了。但个人来说还是(不)希望某信修正的,这样的话可以多学习一些知识,写出更流弊的破文(噗
根据作者的亲身经历,研究心得,开发了一键化破解工具(详见附件),如果是F450 3.0江苏版的用户你们有福了哟。

光猫 ZXHN F450 3.0 漏洞分析与利用以及破解 漏洞分析 安全文摘 漏洞分析  第24张

 
或者想学习整个破解过程手动破解的,也可以看我自己录制的教学视频,视频地址:https://pan.baidu.com/s/11eaIchIJYjARr4UC38Zl4A 提取码:xhm9

原文由吾爱破解论坛

海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1484.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程,请读者勿使用该漏洞进行未授权测试,否则作者不承担任何...

WEB安全 2022-08-21 0 10268

2022年蓝队初级护网总结

2022年蓝队初级护网总结

一. 设备误报如何处理? 答:来自外网的误报说明安全设备需要进行策略升级,不需要处置。如果是来自内网的误报可以和负责人协商一下...

安全文摘 2022-08-21 0 10110

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持