2010年3月14日星期日

破解电信赠送的路由手记

为了推行iptv,电信以宽带捆绑了iptv进行半卖半送的套餐。于是带宽号称是4M了,同时也多了个无线路由。这路由有一点好,就是不用一个adsl的moden加自己的路由器了,而且iptv等于是送的。
问题来了,这路由中竟然没有端口影射?!!那么下载速度就是个问题了!
真像真的是这样吗?
原来电信说明书上给你的帐户只是普通用户,看不见那些高级设置。
那么上网找找看有没有现成的管理员帐户。果然,管理员有一个通用帐户,用户名是telecomadmin,密码是nE7jA%5m。尝试之后发现不能登入,看来电信已经把交给你的路由个性化了。
继续寻找方法。有一种方法是web地址方法,就是用路由web的地址直接绕过登入,这回果然有用。登入的还是普通用户,但是有一些高级设置可以在web地址里显现了。
这些有用的:(路由器一般默认的地址是192.168.1.1)
广域网设置:http://192.168.1.1/wancfg.cmd
电信远程控制:http://192.168.1.1/tr69cfg.html(这么恶心的东西)
路由器设置备份:http://192.168.1.1/backupsettings.html
访问服务开关:http://192.168.1.1/scsrvcntr.cmd?action=view(telnet登入如果不开就从这里开)
upnp设置:http://192.168.1.1/upnp.html
dmz设置:http://192.168.1.1/scdmz.html
nat虚拟服务:http://192.168.1.1/scvrtsrv.cmd?action=view(影射端口就靠它了)
路由器设置上传:http://192.168.1.1/updatesettings.html(这个没有起效)
无线配置:http://192.168.1.1/wlcfg.html
另一套配置界面:http://192.168.1.1/bcmtw.html(这也要管理员的)
有了这些已经可以干很多事情了,但是就是不爽。从路由器设置备份的文件来看,telnet的admin的密码还是那个通用的,也就是说telnet是可以登入的。密码是nE7jA%5m,在配置文件中显示为bkU3akElNW0=。同时我也看到了那个普通用户的密码被加密的样子了。接下来的思路就是想办法改了配置文件再上传回去,用已知的普通用户密码替换管理员的密码,明文加密的,看不懂不要紧,编码一样结果就是一样。
上面不是说telnet可以登入吗,好,那就通过dos窗口用telnet 192.189.1.1登入。
这里有一个准备工作,就是建立一个tftp服务,就是一种简单ftp。下载一个Tftpd32,绿色的东西,运行一下就算是建好了,访问目录就是这个tftp的程序目录。
继续在telnet的界面里用指令:tftp -p -f cfg.xml -tc
192.168.1.x导出路由备份,形成一个cfg.xml文件保存在了tftp的目录下。这里的呃x就是你建立tftp的电脑的ip。
用UltraEdit-32编辑那个cfg.xml文件,把<ctPassword
value="XXXXXXXXXXXXX"/>这一段中的X部分替换成<usrPassword
value="xxxxxxxxxxxxx"/>中的x部分,然后保存。
继续在telnet的界面里用指令:tftp -g -f cfg.xml -tc
192.168.1.x上传路由备份。这里我试过在vista下都没有成功,在XP下就行了。
致此,你就可以用用户名为telecomadmin的高级帐户登入了,密码你知道。

补充:
1,我的设备是电信HOMEACCESS
HA910,但这个方法肯定不限于这个设备。BROADCOM这个品牌的痕迹在猫里边也有一套。
2,配置文件中有一个地址串是电信用于远程修改和控制你的猫用的,可以更改。不过管理员账户改了他应该不能控制了。

没有评论: