Js Js-Sung

## gist:c6be7fb536ac2d749fa09e452c45cee8
上海移动宽带给的光猫H2-2，软件版本号V1.3.6.00.03，telnet似乎无法通过访问隐藏网页打开，不过可以从备份的cfg文件下手。首先安装[zcu](https://github.com/mkst/zte-config-utility)，用于后续加解密配置。
1. 记录好宽带的LOID等认证参数，捅RESET孔至少10s恢复出厂
2. 用默认管理员账户登录：CMCCAdmin/aDm8H%MdA
3. 光猫插上U盘，USB备份设置>开始备份
4. U盘插电脑上，e8_Config_Backup文件夹里ctce8_H2-2.cfg复制出来，执行解密：python examples/decode.py ctce8_H2-2.cfg aaa.xml
6. 搜索TelnetCfg，把Lan_Enable置1，PortEnable置1，ExitTime置999999，InitSecLvl置3，密码TS_UPwd/TSLan_UPwd也可改掉；搜索user，将level置1（管理员权限）
7. 执行加密：python examples/encode.py --payload-type 0 aaa.xml bbb.cfg
8. bbb.cfg相对于原始的ctce8_H2-2.cfg少了头部的144个字节，将ctce8_H2-2.cfg的00-8F的数据复制到bbb.cfg的前面
9. 更新文件头部48-4B的4字节。这是小端整数，指示后面数据的长度。将bbb.cfg文件大小减去128，转成16进制，更新到48地址。例如我的文件是32561字节，那么48地址就是b1 7e 00 00
10. 将文件复制到U盘覆盖原备份文件，启用USB恢复功能，点击设备重启，光猫会重启2次，使用user登录进去看看是否生效
	上海移动宽带给的光猫H2-2，软件版本号V1.3.6.00.03，telnet似乎无法通过访问隐藏网页打开，不过可以从备份的cfg文件下手。首先安装[zcu](https://github.com/mkst/zte-config-utility)，用于后续加解密配置。
	1. 记录好宽带的LOID等认证参数，捅RESET孔至少10s恢复出厂
	2. 用默认管理员账户登录：CMCCAdmin/aDm8H%MdA
	3. 光猫插上U盘，USB备份设置>开始备份
	4. U盘插电脑上，e8_Config_Backup文件夹里ctce8_H2-2.cfg复制出来，执行解密：python examples/decode.py ctce8_H2-2.cfg aaa.xml
	6. 搜索TelnetCfg，把Lan_Enable置1，PortEnable置1，ExitTime置999999，InitSecLvl置3，密码TS_UPwd/TSLan_UPwd也可改掉；搜索user，将level置1（管理员权限）
	7. 执行加密：python examples/encode.py --payload-type 0 aaa.xml bbb.cfg
	8. bbb.cfg相对于原始的ctce8_H2-2.cfg少了头部的144个字节，将ctce8_H2-2.cfg的00-8F的数据复制到bbb.cfg的前面
	9. 更新文件头部48-4B的4字节。这是小端整数，指示后面数据的长度。将bbb.cfg文件大小减去128，转成16进制，更新到48地址。例如我的文件是32561字节，那么48地址就是b1 7e 00 00
	10. 将文件复制到U盘覆盖原备份文件，启用USB恢复功能，点击设备重启，光猫会重启2次，使用user登录进去看看是否生效