获取光猫管理员动态密码
华为、中兴、天邑等厂商的运营商定制化光猫,存在初始化管理员密码。装维人员上门搞完动态业务下发后,密码会变为随机字符和数字,可以通过一些方法获取到管理员动态密码。
| 运营商 | 帐号 | 初始密码 |
|---|---|---|
| 电信 | telecomadmin | nE7jA%5m |
| 移动 | CMCCAdmin | aDm8H%MdA |
| 联通 | CUAdmin | CUAdmin |
注意:动态下发状态的管理员后台配置会同步到远程服务器,配乱后无法通过逻辑ID重置设备,因为远程配置也是错的。
电信方案一:小翼管家RPC
下载安装
小翼管家App,点击下方智能点击右上角
+号,添加设备类型选择天翼网关,添加
绑定天翼网关及路由器按照提示绑定好当前光猫后,进入对应设备的
网关设置开启网络抓包后,开关
指示灯编辑URL以
nos开头的网关能力子系统HTTP请求包修改HTTP请求包体为如下JSON
1 | {"Params":[],"MethodName":"GetTAPasswd","RPCMethod":"CallMethod","ObjectPath":"/com/ctc/igd1/Telecom/System","InterfaceName":"com.ctc.igd1.SysCmd","ServiceName":"com.ctc.igd1"} |
- 查看HTTP响应包体中的管理员动态密码
电信方案二:备份文件提权
通过光猫机身背后useradmin密码,进入普通用户装维后台
进入
管理->设备管理界面,F12打开控制台搜索session找到形如
set3_sessionKey_666的sessionKey,拼接到如下URL尾部并访问
1 | http://192.168.1.1:8080/usbbackup.cmd?action=backupeble&set3_sessionKey=set3_sessionKey_666 |
禁用
快速恢复,插入U盘备份配置下载routerpassview,搜索查看e8_Config_Backup/xxx.cfg中的管理员动态密码
电信方案三:telnet终端命令
前三步与方案二基本相同,但是改为如下配置telnet与ftp的URL
1 | http://192.168.1.1:8080/telandftpcfg.cmd?action=add&telusername=admin&telpwd=admin&telport=23&telenable=1&ftpusername=useradmin&ftppwd=ftpadmin&ftpport=21&ftpenable=1&set3_sessionKey=set3_sessionKey_666 |
访问后便会开启telnet,终端连接后输入su命令和对应密码,最后通过telecomadmin get命令获取理员动态密码。
su提权的密码根据光猫厂商、批次不同,基于
设备标识号的算法规则也不同。
其它运营商
暂时没有需求,以后弄了再补档更新