Skip to content

Instantly share code, notes, and snippets.

@Malayke
Last active January 28, 2024 14:34
Show Gist options
  • Star 13 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save Malayke/d9636339af97132d1c0d5bcfbea2ec14 to your computer and use it in GitHub Desktop.
Save Malayke/d9636339af97132d1c0d5bcfbea2ec14 to your computer and use it in GitHub Desktop.
中兴 F460 电信光猫越狱破解方法

之前用的光猫不小心进水烧坏了,然后搞了个中兴 F460 拿来用,网上办法多如牛毛,但是试了都不行 电信贼的很,只要注册 LOID 之后他就把 telnet 给你关了,然后啥也搞不成,今天琢磨了一整天成功拿到telecomadmin密码,并能随时TELNET进路由器。

为什么要破解?

不破解就有普通用户权限,除了Wi-Fi密码,什么也改不了, 而且 Wi-Fi 名称必须得 ChinaNet 开头,更要命的是电信可以随时远程控制路由器

怎么破解?

最简单的办法是有线或无线连接到路由器后访问 http://192.168.1.1/web_shell_cmd.gch 然后执行以下命令来获取超级用户密码

sendcmd 1 DB p DevAuthInfo

这个页面是电信留的后门 ZTE F460/F660未授权后门漏洞通告

如果无法访问或访问错误,那说明你的路由器已删除此后门

这个办法不行还有其他办法

执行以下步骤之前得把逻辑ID(LOID)、Vlan ID、之类的信息统统记下来

第一步,把光猫背后的光纤线拔掉,不然无法 telnet 进路由器

访问 http://192.168.1.1/hidden_version_switch.gch

在页面里 Version type 旁边的下拉框选择 Default versionsubmit ,这时路由器会重启

然后同样的操作再一次切换版本,这次切换到你所在的省份的版本,四川就选 SiChuan Version 以此类推

路由器重启好以后打开命令行客户端进行TELNET连接

用户名 root, 密码 Zte521(密码有两个省份不一样: 福建 telecomadmin, 四川 Zte521@SC

$ telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
F460
Login: root
Password:

BusyBox v1.01 (2016.02.25-00:51+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

然后输入以下命令

sendcmd 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1 # 设置插上光纤后不自动关闭telnet)(这条一定要修改)
sendcmd 1 DB save # 保存设置

之后进行设备注册,注册完毕,能上网以后

再次 telnet 进路由器 ,执行以下命令获取超级用户 telecomadmin 的密码

sendcmd 1 DB p DevAuthInfo

这时你可以修改 telnet 的配置

sendcmd 1 DB p PortControl # 查看端口开启和使用权限
sendcmd 1 DB set PortControl 3 PortEnable 1 # 开启telnet的23端口
sendcmd 1 DB p TelnetCfg # 查看telnet服务各种参数
sendcmd 1 DB set TelnetCfg 0 TS_Enable 1 # 开启telnet服务
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1 # 使telnet服务能通过LAN连接)
sendcmd 1 DB set TelnetCfg 0 TS_UPwd zte123 # 设置telnet连接默认账号root的密码为zte123

解除电信远控

sendcmd 1 DB set MgtServer 0 URL ""
sendcmd 1 DB set MgtServer 0 UserName ""
sendcmd 1 DB set MgtServer 0 PeriodicInformEnable 0
sendcmd 1 DB set MgtServer 0 PeriodicInformInterval 0
sendcmd 1 DB set MgtServer 0 SessionRetryTimes ""
sendcmd 1 DB set MgtServer 0 ConnectionRequestURL ""
sendcmd 1 DB set MgtServer 0 ConnectionRequestUsername ""
sendcmd 1 DB set MgtServer 0 ConnectionRequestPassword ""

修改Wi-Fi名称

sendcmd 1 DB set WLANCfg 0 ESSID "HackerNet-1337"
sendcmd 1 DB set WLANCfg 0 ESSIDPrefix ""
sendcmd 1 DB save
reboot

在提供一个能获取telecomadmin的方法:http://www.hackblog.cn/post/80.html

最后附上效果

爽歪歪 😎

参考连接:

http://www.myxzy.com/post-342.html

http://bbs.8080.net/thread-249964-1-1.html

http://www.myxzy.com/post-411.html

https://blog.csdn.net/zhangrui_fslib_org/article/details/52758817

https://user.qzone.qq.com/11651189/blog/1480754161

@andreadaoud
Copy link

补充一点,

sendcmd 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1 # 设置插上光纤后不自动关闭telnet)(这条一定要修改)
sendcmd 1 DB save # 保存设置

执行完后需要重启光猫才能生效,重启光猫之后才能插入光纤。如果不重启,插入光纤后telnet就无了。

@dexterhuh
Copy link

F660 好像不行。访问 http://192.168.1.1/hidden_version_switch.gch 依旧是NOT FOUND 即使我拔掉了光纤。

@douniwan5788
Copy link

douniwan5788 commented Jan 25, 2023

F660 好像不行。访问 http://192.168.1.1/hidden_version_switch.gch 依旧是NOT FOUND 即使我拔掉了光纤。

新固件很多后门都修复了,可以用更稳定的factroymode
https://github.com/douniwan5788/zte_modem_tools

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment