拆机
拆掉2个螺丝,用工具将四周卡扣翘起取下后盖,将主板翻出来。注意,需要使用多个工具将已经开缝的卡扣顶住,否则拆起来费力。
破解
找到TTL针脚,接上ch340模块,对照好线序(tx/rx交叉)和串口号,波特率115200,用putty或其它客户端,给猫开机跑码:
观察系统启动信息,出现重复行时,间断性按Ctrl+C中断系统,直到localhost login行,使用以下信息登录:用户名:root,密码:aDm8H%MdA
之后光标转换为#开头,可以键入命令。
/ # sidbg 1 DB decry /userconfig/cfg/db_user_cfg.xml
/ # cat /tmp/debug-decry-cfg |grep Pass\”
之后 就可以看到输出的密码,val后双引号内的字符即分别是超密和普通密码。
以上来源:联通光猫星网锐捷SG631Z全网首拆+获取超密教程-光猫/adsl/cable无线一体机-恩山无线论坛 – Powered by Discuz!
另外,不拆机破解方法如下:
开启Telnet并固化
首先使用光猫背面记录的账号密码登录光猫后台, 记录loid和password, 以让我们重置光猫后可以重新注册.
首先断开光纤连接, 长按光猫后面的reset按钮大概20s, 等待所有指示灯熄灭并且重新闪烁后, 松开.
此时使用用户名CUAdmin,密码CUAdmin登录. 在登录后的的界面地址栏输入
//192.168.1.1/getpage.gch?pid=1002&nextpage=tele_sec_tserver_t.gch
即可开启telnet.
使用TelNet工具如putty连接光猫:登录用户名: admin 密码: chzhdpl@246 su密码: aDm8H%MdA,至#出现。
此时我们便拥有了root权限. 为防止运营商远程下发配置使得我们之后无法使用telnet登录, 修改部分配置文件, 使得telnet”固化”。
sidbg 1 DB p TelnetCfg
sidbg 1 DB set TelnetCfg 0 TS_Enable 1 # 允许 LAN 侧连接 Telnet
sidbg 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1 # 插上光纤后仍然启用 Telnet
sidbg 1 DB set TelnetCfg 0 Lan_Enable 1 # 开启 Telnet 服务
sidbg 1 DB set TelnetCfg 0 TS_UName root
sidbg 1 DB set TelnetCfg 0 TS_UPwd Zte521
sidbg 1 DB set TelnetCfg 0 Max_Con_Num 99
sidbg 1 DB set TelnetCfg 0 ExitTime 999999
sidbg 1 DB set TelnetCfg 0 InitSecLvl 3# 调整权限
sidbg 1 DB set TelnetCfg 0 CloseServerTime 9999999
sidbg 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1
sidbg 1 DB save这下就已经固化成功了, 可以插入光纤下发配置了, 填入loid和密码即可注册成功.
获取超密还是按前述方法。
TR069删除
如果不愿意让运营商视奸自己的光猫, 下发配置等, 可以选择删去TR069, 但这会带来一个问题
ITMS会显示连接失败等信息, 导致所有的dns请求都被劫持到192.168.1.1, 在正常逻辑下是光猫将未注册设备劫持到注册页面, 但我们已经通过桥接的方式正常上网了, 这会导致我们的53端口dns全部被劫持, 表现为nslookup或者ping的结果都变为192.168.1.1
有两个解决方案
方案1(推荐)
光猫的ITMS连接状态也是写在文件中的, 所以我们只需要修改注册结果即可
同样是Telnet到光猫后输入
sidbg 1 DB set PDTCTUSERINFO 0 Status 0
sidbg 1 DB set PDTCTUSERINFO 0 Result 1
sidbg 1 DB save
sidbg 1 DB set PDTCTUSERINFO 0 tForcePushFlg 0 #如果有强推的话, 还需要关闭一下强推
reboot
即可欺骗光猫让其以为ITMS注册成功.