电信光猫-天邑TEWA-600AEM破解telnet

咳咳…这绝对的老古董了。我这里的版本是Tianyi_V1.0.Y6，网上用backupsettings.conf的方法已经完全失效了(下载后打开是This page is not supported...似曾相识啊)，我这里通过自带的ftp找到了telnet开关，再通过内置shell的漏洞实现逃逸，拿到完整shell。

首先，需要拿到光猫的用户密码(在光猫侧面贴纸上)，一般是五位。登录成功后打开http://192.168.1.1/enableTelnet.cgi这个界面，你应该能看到一列输入框和telnet使能按钮…先别激动！这个页面的js被注释了，我们需要右键查看源码，然后按f12打开控制台，把缺失的js补回来(这里我是用手机+eruda实现的，就贴一张隐藏的js吧，控制台操作请自行百度)

如图，从<!-- hide开始到后头的done hiding -->，我们只要之间的部分(从var xxx到eval(code)})，输入进控制台并运行

接下来在页面上修改账号密码端口…别忘记把使能勾上！最后，回到控制台，输入applyClick()，回车后页面刷新代表telnet成功打开！

接下来，使用telnet工具连接光猫，输入设置的账号密码…然后…不是bash？

输入help，发现命令寥寥无几…按照电信ping命令从来不修漏洞的原则，输入ping 127.0.0.1&&ash (别打错了)，果然成功进入bash并且为root权限！再传个带telnetd的busybox上去就能用了(系统架构双核mips，rom是ubi，修改很方便。这个机子没有OpenWrt子系统，但是有jvm(诶，这不是移动配置吗))

一部分配置在nvram show里，其他的还没找到，咕咕咕(飞走)