参考
http://www.xgiu.com/zte-ty4-gmpj

电信光猫中兴ZTE天翼4.0光猫破解获取超级密码教程
202206中兴ZTE天翼4.0光猫使用不算久，现在破解方式很少。

2024/01/13
找到一篇提权的方法
https://www.chiphell.com/thread-2528193-1-1.html
天翼4.0光猫每次重启会自动改密码，本贴适用于F7010，F4010，F7607p和F4607p应该也适用，但我没有试过
工具请自己找，这里就说一下流程

1、先确认电脑网线直插光猫，电脑可以正常上网，拔掉光纤，用牙签捅RESET恢复出厂，恢复出厂后LOID会保留，其他选项包括超级密码会恢复初始

2、光猫自动重启后，进192.168.1.1，试试账号telecomadmin，密码nE7jA%5m（不同运营商默认账号密码不一样，这是电信的），能进入后台就看下一步

3、在Jarvis's Blog下载factorymode_crack-v2
电信用cmd运行factorymode_crack.exe -l xxx open -i 192.168.1.1 -p 8080
移动联通定制版，用cmd运行factorymode_crack.exe -l xxx open -i 192.168.1.1

如果还是不行，可以试试zte_modem_tools
python3 zte_factroymode.py --user 账户 --pass 密码 --ip 192.168.1.1 --port 8080 telnet open

4、这一步做完，我们已经拿到了telnet账户和密码，用telnet工具（比如putty）连接到光猫，一行一行输入
sendcmd 1 DB set DevAuthInfo 1 Level 1
sendcmd 1 DB save

5、打开192.168.1.1，用光猫背后的普通账户和密码登录，如果这时可以修改wan，那么提权成功，可以无视超管账号直接用普通账号管理

（可选）6、永久打开telnet，之前获取的telnet是随机账户和密码，并且插上光纤后没法再次获取
打开tftpd64.exe
在telnet窗口输入tftp -p -l userconfig/cfg/db_user_cfg.xml -r db_user_cfg.xml 192.168.1.2
tftpd64.exe同一个目录下会出现db_user_cfg.xml文件，用ztecfg进行解密
ztecfg.exe -d AESCBC -i .\db_user_cfg.xml -o break.cfg
得到break.cfg文件，里面TelnetCfg字段明文记录了密码

在telnet窗口逐行输入
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 5
sendcmd 1 DB save
reboot

重启后就可以用获取到的telnet账户登录了，下发后也不会失效

7、重新插回光纤，不要做任何操作，光猫一分钟内会自动下发并重启，然后自动注册联网

破解原理：
1.注册后RESET重置telnet.Telnet,获取XML加密文件,取得telnet账号密码,固化telnet(其实没多大用,每次都会更改).
2.光猫注册,获取加密XML文件配置,获取超级密码
或者使用命令行读取数据库内保存的账号密码
http://429006.com/article/technology/3405.htm

使用条件:
1.需要一台WIN电脑，电脑安装TELNET服务
安装telnent服务请百度
2.一台电信版中兴ZTE天翼4.0光猫
3.factorymode_crack.exe获取telnet开启telnet,获取账号密码,请在拔掉光纤的情况下获取
https://www.jarvisw.com/?p=1517

factorymode_crack.exe -l xxx open -i 192.168.1.1
factorymode_crack.exe -l xxx open -i 192.168.1.1 -p 8080

3.TFTPD32软件
https://tftpd32.jounin.net
https://pjo2.github.io/tftpd64/

接着打开TFTP软件 在telnet中输入
tftp -p -l userconfig/cfg/db_user_cfg.xml -r db_user_cfg.xml 192.168.1.2

4.中兴的XML文件解密软件
百度或 https://wwt.lanzoul.com/iJnDn04y61de 密码xgiu

.\ztecfg.exe -d AESCBC -i .\db_user_cfg.xml -o break.cfg

5.获取telnet用户账号密码并固化
db_user_cfg.xml 内找到telnet的用户密码
固化
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 5
sendcmd 1 DB save
reboot

6.结束,插上光纤,运气好,注册后的光猫应该保存上了telnetcomadmin的账号密码

重新获取db_user_cfg.xml文件读取telnetcomadmin账户密码即可自行操作

不行,恢复光猫设置(短按reset3秒左右),
1.重新注册
2.拔掉光纤,重置光猫(3秒短按reset)
3.telnet获取db_user_cfg.xml文件配置
4.读取telecomadmin密码
5.自行操作
6.插回光纤等配置下发,上网

性能好的路由器桥接还是舒服,喜欢用单口千兆或者2.5G口的光猫
一般来说200M左右的宽带跑满还是够了,大了也没多大用,毕竟上行是限制的

“在路由器启动后执行”

关闭红灯

mtk_gpio -d 8 1

关闭蓝灯

mtk_gpio -d 10 0

开启黄灯

mtk_gpio -d 11 1
这几句可以直接加在开头
“在 WAN 上行下行启动后执行”

关闭红灯

mtk_gpio -d 8 1

关闭黄灯

mtk_gpio -d 11 0

开启蓝灯

mtk_gpio -d 10 1

删除右键菜单“固定到开始屏幕”，复制并以reg文件保存，双击运行即可

定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\
删除 pintoStartScreen 键值

恢复

另存为.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\PintoStartScreen]
@="{470C0EBD-5D73-4d58-9CED-E91E22E23282}"

参考
http://www.360doc.com/content/20/0208/15/682382_890514031.shtml

https://www.xitongcheng.com/jiaocheng/win10_article_16849.html

删除文件夹右键菜单“固定到快速访问”

Win10系统删除右键固定到"快速访问"选项的方法：

1、按WIN+R调出运行对话框，然后输入 regedit 回车；

2、打开注册表编辑器后，定位到“HKEY_CLASSES_ROOT\Folder\shell\pintohome”；

3、然后在右侧窗口中新建“字符串值”，然后命名为“Extended”；

删除鼠标右键“固定到快速访问”，以.reg文件保存运行

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\pintohome]
"Extended"=""

恢复以上

删除Extended键值即可

参考:

https://www.jianshu.com/p/f52675111c9b