光猫 ZXHN F450 3.0 漏洞分析与利用以及破解

Andy 2019-07-28 安全文摘漏洞分析

最近家里宽带升级了200M，于是某信以我的老光猫（烽火某型号）不支持为由，给我换了新的光猫。说实话还是有点不舍得的，毕竟老的光猫是没有无线的（个人觉得这是个累赘，家里已经装了UBNT的AP覆盖，而且也会增加光猫的功耗，最关键我的老光猫是破解的，出入管理界面自由）。然后就对破解光猫有了新的认识，比如什么是LOID啊，什么是ITMS啊，巴拉巴拉。

ZXHN F450 3.0的光猫，应该是江苏这里主流的新款光猫吧，我尝试了网上流传的所有破解方法，无一能成功的。所以就自己分析可能存在的漏洞，然后尝试利用并且破解。虽说现在回想以及使用漏洞破解轻而易举，但当初（3天前）想破乳头（乳就是小的意思）都找不出解决的办法，不过整个的破解过程还是需要唠叨一下的，毕竟这样才显得博学（误，对破解其他光猫会有很大的帮助，因为我用其他的方式，又破解了一台华为HG8145C 2.0的光猫，对于老光猫的话这些老方法还是很有效的。

1. 光猫到手我就拆了，因为知道破解光猫最终极方法就是TTL大法，于是我找出年代久远的CH341 土豪金编程器，跳线帽调至TTL模式，杜邦线接到光猫。以我多年PCB Layout经验，热焊盘的是GND，粗线的是VCC，另外两个可能是TX/RX，然后接上。Putty打开串口，打开光猫，出来了期待的文字，一脸果然如此的神情浮现在楼主稚嫩而精致的小脸上（窜线了。然后……然而……等到画面停止跳动，光猫完全启动，发现怎么按回车或是ESC都不能弹出登录界面？难不成线没接好，再重启，然后不断的按ESC，终于我进入了一个叫UBOOT的界面（就是小米手机刷机那个FASTBOOT，哦不对），反正就是用来引导系统启动，并且提供了一些基础的功能比如刷机，升级，重置之类的功能。然后我稍微尝试了一下（其实比较久，可以通过TFTP更新固件，然而手头没有合法的固件，貌似需要CRC32之类的校验合法性，所以刷不进。并且虽然提供了ls命令，但无法进目录里查看，只能查看根目录，其他的话基本都是内存读写NAND FLASH（闪存）读写之类，没有对文件系统结构具体的地址进行展示，就算是能读写NAND但不知道地址，胡乱写入只会让光猫变砖，变砖后虽然可以换新猫，但有拆卸过的痕迹怕是到时候需要好好解释（狡辩）一番的了。此方法就此告罢。

IC上的散热器胶很牢，用拆焊台加热240℃，中等头，吹个10多秒钟，然后拆下。

蛤，一波操作后比较乱。
2. 拔光纤，长按reset按钮重置机器。貌似没啥效果，只能起到重启的效果，没啥P用。
3. 通过网上流传的，重置光猫地址，切换地区方法来强制清空机器数据，从而破解光猫的原始管理密码。不过貌似是失败了，主要原因，该功能已全部设置了密码保护，只有拥有密码的管理员才能对机器进行上述的操作。

4. 研究U盘管理功能，是否可能存在权限访问U盘路径以外的其他路径。以/etc为例，使用HTTP调试工具Fiddler进行参数的改写。列出/etc目录下的文件，这个操作有点慢，因为这个目录下文件有点多，我都以为失败了，结果列出来了一大堆的数据。然后我再尝试了获取/etc/password、/etc/shadow文件，拷贝到U盘中，结果能成功（这个部分没啥用，因为我没法Telnet也没法TTL登录进路由器）。再做了一些测试，和网上流传的说法/userconfig/cfg目录下是存放光猫配置的，我尝试把这个目录下的配置文件拷贝到U盘，然后打开文件，很遗憾xml被加密了。看文件的结构，应该是比较严谨的加密，但还是怀着试试看的心态写了个XOR暴力穷举程序，试试看会不会不像表面上那么难。但结果比较遗憾，和表面上看上去一样的强（穷举程序代码如下，可以附件中下载）。

列出配置文件，如果你只是要破解光猫，直接删除掉这些配置文件就行了，如下图

导出的配置文件

使用XOR暴力穷举，尝试破解
5. 久违的无法上网，等我破解了超管权限之后，我竟然无法上网了。猜想可能配置文件丢失，可能重置一遍机器就会好的，所以就彻底重置机器，然后再试。不试不知道，一试吓一跳，我竟然3天都没搞定，一直无法上网。用手机百度了无数个帖子，发现貌似有个叫LOID（中文名宽带识别码，逻辑ID）的东西。仔细查看发现疑似被重置掉了，网上有说法说可以找某信可以要，于是就打电话给某信，我已经明确的说宽带识别码了，但是客服却不肯给我，非要安排个小哥上门。上门就上门吧，不带怕的，虽然机器还裸体着……某信小哥上门就给输了码，成功的上网。但我是个不信邪的人啊，对于出现的问题刨根问底才能在逆境中成长，我深知这个道理。所以我又把光猫给破解了一次（采用第4种方法），破解后重启进入光猫，我果然看到了LOID，并自行的保存好以备用。然后我又重置了机器，自信满满的输入了LOID，并且成功的没法上网。我当时就窝了一个艹，怎么回事？登录进管理界面发现ITMS注册不了，这个东西疑似是需要某信在系统上登记的，需要下发。不黑进某信的系统，是没法进行下发操作啊……这么想着，又一天过去了。我就收了两个旧猫。如下图，当是的猜测是这样的，可能老猫不需要ITMS注册，网上搜索结果来看，很多老猫用户ITMS没有注册就成功的上网了。于是倒腾起了华为HG8145C光猫来。

注意上图和下图LOID区别

6. 一言不合就开盖，HG8145C的盖比F450难拆不止一点点，F450可以几乎无损的拆开，但是8145拆开还是断了不少的脚的。好在外部没有什么拆卸痕迹（对于一个外观DANG，我不忍心看到一点瑕疵），拆开后看到主板上有5个接口，看着像串口。凭借多年PCB Layout经验，秒区分出了VCC GND TX RX（就是这么流弊，我能说啥），但是接上串口疑似没啥反应，用新买的钳形表（只是突出个性，普通万用表也行），测得电压只有TX RX 口40mV，一般来说TX RX的电压都在3.2V才是正常的。于是找板子上的布线，发现TX RX少了两个电阻。测量电阻的前端，电压得到3.2V，懒得补上电阻（0402的电阻我也没有啊，还要去买），直接飞线接出。接上我的CH341土豪金，完美的得到tty，久违的登录界面出现了，但是root的密码admin却不对。求助chinadsl上的大佬得到了adminHW这个密码成功的登录进去。按照网上的教程备份配置文件之类的命令全被和谐了，shell里面也就少的可怜的两个命令，其中一个还是exit。唉，只能自己研究，研究发现WAP模式下，可以restore_factory，重启后成功的通过telecomadmin nE7jA%5m成功的登录进了管理界面。

留了后门的HG8145C

7. 为全新的HG8145C（重置完了啥也没有）绑定LOID，输入后没过多久，我就注册上了。系统界面上显示OLT和ITMS都注册通过了。当时我又是一个我了个艹，难道说老光猫容易破解？或者说不需要特定的注册？？然后我又试回了F450光猫，一波操作之后也能够上网了。这就似乎有点诡异，经过一波研究并且结合百度上大家的说法，猜测可能光猫在某信的系统上只能被绑一次。同一个光猫同一个终端接口（光纤接入）需要某信解绑后才能重新注册使用，但是换来了光猫之后会自动重新绑定新光猫。所有这就是我用了HG8125C后再F450也能上网，单单使用F450却怎么重置，怎么注册都上不了网。如果手头只有一台光猫的小伙伴们，你们可能只能找某信小哥上门帮解绑重新注册牢哟。这个部分我就不截图牢，上网谁不会，噗。

关于ZXHN F450 3.0的漏洞，应该是权限不明确，WEB SERVER运行在root权限下导致的，同样的漏洞在华为的机器上却没有。因为看过华为的机器，对权限设置的非常的严谨，并且在登录认证上也很复杂，密码输入超过次数后都会被锁定，并且无法修改disable属性来强制的提交。中兴的机器，只能说一般。但是TTL、Telnet等都彻底阉割干净了，所以很少有可以利用的漏洞，目前作者就发现这个唯一一个可以利用的漏洞。其本上全球首创。对于某信需要修正这个漏洞也是很容易的，直接做个路径匹配，轻轻松松的就解决了。但个人来说还是（不）希望某信修正的，这样的话可以多学习一些知识，写出更流弊的破文（噗
根据作者的亲身经历，研究心得，开发了一键化破解工具（详见附件），如果是F450 3.0江苏版的用户你们有福了哟。