参考
http://www.xgiu.com/zte-ty4-gmpj

电信光猫中兴ZTE天翼4.0光猫破解获取超级密码教程
202206中兴ZTE天翼4.0光猫使用不算久,现在破解方式很少。

2024/01/13
找到一篇提权的方法
https://www.chiphell.com/thread-2528193-1-1.html
天翼4.0光猫每次重启会自动改密码,本贴适用于F7010,F4010,F7607p和F4607p应该也适用,但我没有试过
工具请自己找,这里就说一下流程

1、先确认电脑网线直插光猫,电脑可以正常上网,拔掉光纤,用牙签捅RESET恢复出厂,恢复出厂后LOID会保留,其他选项包括超级密码会恢复初始

2、光猫自动重启后,进192.168.1.1,试试账号telecomadmin,密码nE7jA%5m(不同运营商默认账号密码不一样,这是电信的),能进入后台就看下一步

3、在Jarvis's Blog下载factorymode_crack-v2
电信用cmd运行factorymode_crack.exe -l xxx open -i 192.168.1.1 -p 8080
移动联通定制版,用cmd运行factorymode_crack.exe -l xxx open -i 192.168.1.1

如果还是不行,可以试试zte_modem_tools
python3 zte_factroymode.py --user 账户 --pass 密码 --ip 192.168.1.1 --port 8080 telnet open

4、这一步做完,我们已经拿到了telnet账户和密码,用telnet工具(比如putty)连接到光猫,一行一行输入
sendcmd 1 DB set DevAuthInfo 1 Level 1
sendcmd 1 DB save

5、打开192.168.1.1,用光猫背后的普通账户和密码登录,如果这时可以修改wan,那么提权成功,可以无视超管账号直接用普通账号管理

(可选)6、永久打开telnet,之前获取的telnet是随机账户和密码,并且插上光纤后没法再次获取
打开tftpd64.exe
在telnet窗口输入tftp -p -l userconfig/cfg/db_user_cfg.xml -r db_user_cfg.xml 192.168.1.2
tftpd64.exe同一个目录下会出现db_user_cfg.xml文件,用ztecfg进行解密
ztecfg.exe -d AESCBC -i .\db_user_cfg.xml -o break.cfg
得到break.cfg文件,里面TelnetCfg字段明文记录了密码

在telnet窗口逐行输入
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 5
sendcmd 1 DB save
reboot

重启后就可以用获取到的telnet账户登录了,下发后也不会失效

7、重新插回光纤,不要做任何操作,光猫一分钟内会自动下发并重启,然后自动注册联网

破解原理:
1.注册后RESET重置telnet.Telnet,获取XML加密文件,取得telnet账号密码,固化telnet(其实没多大用,每次都会更改).
2.光猫注册,获取加密XML文件配置,获取超级密码
或者使用命令行读取数据库内保存的账号密码
http://429006.com/article/technology/3405.htm

使用条件:
1.需要一台WIN电脑,电脑安装TELNET服务
安装telnent服务请百度
2.一台电信版中兴ZTE天翼4.0光猫
3.factorymode_crack.exe获取telnet开启telnet,获取账号密码,请在拔掉光纤的情况下获取
https://www.jarvisw.com/?p=1517

factorymode_crack.exe -l xxx open -i 192.168.1.1
factorymode_crack.exe -l xxx open -i 192.168.1.1 -p 8080

3.TFTPD32软件
https://tftpd32.jounin.net
https://pjo2.github.io/tftpd64/

接着打开TFTP软件 在telnet中输入
tftp -p -l userconfig/cfg/db_user_cfg.xml -r db_user_cfg.xml 192.168.1.2

4.中兴的XML文件解密软件
百度或 https://wwt.lanzoul.com/iJnDn04y61de 密码xgiu

.\ztecfg.exe -d AESCBC -i .\db_user_cfg.xml -o break.cfg

5.获取telnet用户账号密码并固化
db_user_cfg.xml 内找到telnet的用户密码
固化
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 5
sendcmd 1 DB save
reboot

6.结束,插上光纤,运气好,注册后的光猫应该保存上了telnetcomadmin的账号密码

重新获取db_user_cfg.xml文件读取telnetcomadmin账户密码即可自行操作

不行,恢复光猫设置(短按reset3秒左右),
1.重新注册
2.拔掉光纤,重置光猫(3秒短按reset)
3.telnet获取db_user_cfg.xml文件配置
4.读取telecomadmin密码
5.自行操作
6.插回光纤等配置下发,上网

性能好的路由器桥接还是舒服,喜欢用单口千兆或者2.5G口的光猫
一般来说200M左右的宽带跑满还是够了,大了也没多大用,毕竟上行是限制的

标签: none

评论已关闭