0x00 序言
前不久把家里宽带升级到200M,测试了下上行也达到了20m的速度,还挺不错的!
不过最近似乎感觉网速达不到标定而且卧室信号也不好,就把无线路由器移了位置,现在卧室里信号好很多。
最近又想着光猫做桥接,用路由器来拨号,进一步提升性能,让这个千元路由器物尽其用吧!
0x01 获取光猫超级密码
-
记录下光猫背面的配置账号及密码
useradminl*******p -
设备型号
PT923 -
浏览器访问光猫
192.168.1.1, 并输入上述账号登陆 -
手动修改浏览器地址栏地址
telnet.asp,并Enter访问 -
telnet 192.168.1.1账号密码尝试admin/1234admin/TeleCom_1234登录成功后进行下一步 -
/var/romfile.cfg/tmp/ctromfile.cfg提取到telecomadmin超级密码
翻页找到telecomadmin帐号/密码(大概在文件14%处),另外有hgw帐号/密码,itms帐号/密码(自己更换光猫时可参考设置),另外,还有Voip电话帐号/密码,设置参数等(大概在文件21%处),至于Iptv参数等,自己找吧
0x02 Just do it
有了超级密码,就能干很多事了,在此不表,根据个人需求!
0x03 其他方法和思路
上述方法可能会存在一些局限性,比方说telnet登陆密码无效,那破解就无法进行下去了,下面我们用火狐浏览器插件
live http headers来完成破解超级密码
其实思路还是一样的,就是获取到ctromfile.cfg这个文件
- 使用配置账号登陆管理界面
- 进入局域网配置,打开插件
live http headers这个时候点击保存按钮并确定。 - 等待保存完成后,切到插件对话框Replay
- 修改http的请求地址
cgic_get.asp->upgrade.asp再次Replay,会进入升级管理页面,点击页面中的ROMFILE BACKUP按钮,下载Romfile.cfg文件
0x04 囧
以上方法思路都是针对其他相似型号的光猫,实战过程中,费了老鼻子劲都没搞成功,把burp都请出来了还是不行,看来新版本的固件已经封堵了这个漏洞
0x05 然而
http://192.168.1.1:8080/romfile.cfg深藏功与名 <Entry0 Active="Yes" web_right="0" username="root" web_passwd="UQ440175" display_mask="FF FF FF FF FF FF FF FF FF" Logged="0" LoginIp="192.168.1.2" Logoff="0" />
0x06 后记总结
大致分析了下:
- 厂商封堵了这个漏洞.毕竟网上到处都是破解的教程,所以厂家也不会视而不见
- 新版本的固件,更新了UI, 以前老的UI设置页面部分被保留,只是端口号变更为8080
-
http://192.168.1.1:8080/romfile.cfg这个漏洞也足以说明,厂家的开发人员本身安全意识很弱,在开发过程中,基本上都没有把web安全考虑进去.
网友评论