0x00 序言


前不久把家里宽带升级到200M,测试了下上行也达到了20m的速度,还挺不错的!
不过最近似乎感觉网速达不到标定而且卧室信号也不好,就把无线路由器移了位置,现在卧室里信号好很多。
最近又想着光猫做桥接,用路由器来拨号,进一步提升性能,让这个千元路由器物尽其用吧!

0x01 获取光猫超级密码


  1. 记录下光猫背面的配置账号及密码useradmin l*******p

  2. 设备型号 PT923

  3. 浏览器访问光猫 192.168.1.1, 并输入上述账号登陆

  4. 手动修改浏览器地址栏地址telnet.asp,并Enter访问

  5. telnet 192.168.1.1 账号密码尝试 admin/1234  admin/TeleCom_1234 登录成功后进行下一步

  6. /var/romfile.cfg   /tmp/ctromfile.cfg提取到telecomadmin超级密码

翻页找到telecomadmin帐号/密码(大概在文件14%处),另外有hgw帐号/密码,itms帐号/密码(自己更换光猫时可参考设置),另外,还有Voip电话帐号/密码,设置参数等(大概在文件21%处),至于Iptv参数等,自己找吧

0x02  Just do it


有了超级密码,就能干很多事了,在此不表,根据个人需求!

0x03 其他方法和思路


上述方法可能会存在一些局限性,比方说telnet登陆密码无效,那破解就无法进行下去了,下面我们用火狐浏览器插件live http headers来完成破解超级密码
其实思路还是一样的,就是获取到ctromfile.cfg这个文件

  1. 使用配置账号登陆管理界面

  2. 进入局域网配置,打开插件live http headers 这个时候点击保存按钮并确定。

  3. 等待保存完成后,切到插件对话框Replay

  4. 修改http的请求地址cgic_get.asp ->upgrade.asp 再次Replay,会进入升级管理页面,点击页面中的ROMFILE BACKUP按钮,下载Romfile.cfg文件

0x04 囧


以上方法思路都是针对其他相似型号的光猫,实战过程中,费了老鼻子劲都没搞成功,把burp都请出来了还是不行,看来新版本的固件已经封堵了这个漏洞

0x05 然而


http://192.168.1.1:8080/romfile.cfg深藏功与名 <Entry0 Active="Yes" web_right="0" username="root" web_passwd="UQ440175" display_mask="FF FF FF FF FF FF FF FF FF" Logged="0" LoginIp="192.168.1.2" Logoff="0" />

0x06 后记总结


大致分析了下:

  1. 厂商封堵了这个漏洞.毕竟网上到处都是破解的教程,所以厂家也不会视而不见

  2. 新版本的固件,更新了UI, 以前老的UI设置页面部分被保留,只是端口号变更为8080

  3. http://192.168.1.1:8080/romfile.cfg 这个漏洞也足以说明,厂家的开发人员本身安全意识很弱,在开发过程中,基本上都没有把web安全考虑进去.