[已获root权限]电信&磊科路由器NX1-T telnet破解

首先看下登录界面：

电信办宽带时顺便(捆绑)买的，没想到登录界面看着挺漂亮。据说有256M的内存，不拿来干点别的岂不浪费？虽然登录界面不是luci,但抓包发现在不断call ubus，因此判断系统为魔改的openwrt，尝试破解并登录光猫系统。

1.拆机法 机身后四个螺丝很好解 有很大一块散热板 旁边标好了TX RX 。连测电都不用直接ttl板连接，启动时打出了log，但启动完立即关闭了tty，无法输入命令，遂放弃。

2.修改固件法 在磊科官网(netcoretec.com)找到了路由器的固件

下载后用binwalk分析，得到了jffs2格式的根目录文件系统

但固件没有被完整剥离开，无法直接挂载

（小注：不是没安装jefferson的问题 即使安装也依旧无法挂载）

所以使用mtdram挂载:

sudo apt install mtd*
modprobe mtdblock
modprobe mtdram total_size=25600 erase_size=64 #25600=25600K=25M

挂载成功，但丢失了几个目录，如果还要修改的话刷回去只会让路由器再也开不了机。

3.寻找漏洞法:好在www目录完好无损(叹气)

在/www/cgi-bin(相对于固件根目录)下发现了telnet cgi 打开发现这就是控制telnetd的脚本!

起初以为pwd和user可以乱给，尝试几下发现user和pwd两个参数就是路由器的管理账号和密码！(useradmin/设置的密码)

成功了。

使用

telnet 192.168.2.1

直接连上路由器 要求输入账号密码

账号经尝试有admin/useradmin两个，密码不知道而且有次数限制。。。超过3次锁5分钟。

这时我们就要找找线索了。

经查找，在/etc/gponcfg下有两个xml，疑为系统默认配置，一个是默认，一个是河南。笔者不在河南，因此看默认配置。

在1658行终于看到了useradmin的正确密码，是Zxic521!(对的，这个路由器的芯片是中兴的...肉麻)

登陆成功，但是只有user权限，root密码爆破半天不起效果

按照useradmin的奇葩密码逻辑，我们尝试su后输入root,admin,public,Zxic521!...都不行

直到我少打了一个!,密码对了…离谱

root密码是Zxic521

至此，拿到完整权限，架构是armv7l,设备存储容量极大足够折腾，教程结束！

附赠mtd结构表：

dev:    size   erasesize  name
mtd0: 08000000 00020000 "whole flash"
mtd1: 00200000 00020000 "u-boot"
mtd2: 00300000 00020000 "parameter tags"
mtd3: 00500000 00020000 "kernel0"
mtd4: 00500000 00020000 "kernel1"
mtd5: 00800000 00020000 "usercfg"
mtd6: 00100000 00020000 "others"
mtd7: 00300000 00020000 "wlan"
mtd8: 02000000 00020000 "rootfs0"
mtd9: 02000000 00020000 "rootfs1"
mtd10: 00800000 00020000 "framework"
mtd11: 00800000 00020000 "framework1"
mtd12: 01500000 00020000 "apps"
 
#基本上都是jffs2/ubifs，可挂载成读写模式修改!

内存真的有256m...服了

刷砖了，uboot救砖把uboot也刷了( 弃坑ing