电信贝尔G-140W-TG光猫破解超级密码、开telnet、救砖刷机

上次写的旧猫(兆能)寿终正寝了...一是网速跑不满，二是老断流。遂在咸鱼20元淘之，是电信WIFI-6千兆GPON猫

这篇介绍了这款猫修改超级密码、开telnet、改WiFi配置、刷OpenWrt子系统并自由安装软件和救砖的流程

参阅的文章如下，感谢大佬们的付出: 

1.诺基亚贝尔 G-1425-MA 移动 GPON 光猫 get shell | llccd's blog

2.[晒图] 内蒙古移动诺基亚贝尔G-040G-MB

3.联通贝尔光猫G-140W-UG修改为桥接/管理员密码并开启telnet

4.【刷机实战】为网友救砖贝尔G-140W-C光猫

一.打开telnet

进入正题，首先要知道自家的LOID、密码(可以找人工/装维)、PPPoE账号密码(这个没有可以电信APP查改)，然后拔光纤，大胆按RESET直到重启。

(如果有小翼管家也可以抓包改请求查到密码，这里就不写了)

别理它的自助注册，用nE7jA%5m登进去，访问这个链接点一下开启。telnet进去要密码？用useradmin/背后贴的密码登进去

然后输入su useradmin_ftp，还是贴的密码，uid就变成root了~

谨慎起见，输入telnetd -p 2323 -l /bin/sh在2323留个应急端口。这会可以放心插光纤注册了

(因为我是换的猫，为了避免装维上门我克隆了旧猫的MAC和SN，具体看参考文章)

二.修改超级密码

可恶，陕西也开始自动修改超级密码了，但不是每天变，是配置业务时下发一次

经过研究，cfgcli -a > /mnt/config.xml可以dump光猫的明文xml配置，用ftp下载下来后用Python parse一下，超级密码所在的键是InternetGatewayDevice.DeviceInfo.X_CT-COM_TeleComAccount.Password

cfgcli -g {path}查一下，竟然是***(笑)，只能修改了~用cfgcli -s {path} {password}修改超密后实时生效

Wi-Fi名所在的键: InternetGatewayDevice.LANDevice.1.WLANConfiguration.{dev}.SSID，其中dev 1是2.4G，dev 2是5.8G，实时生效。

三.刷OpenWrt子系统

重修中，明天放出可以自由切换两套系统的固件

成品图: 

和我上一篇的目的类似，光猫具有足够的nand flash空间，可以用来跑一些应用，因此为子系统移植busybox和开启telnet

将系统复制到FAT32格式的U盘上，插上光猫。登录光猫，切到root后cd /mnt 找到你的U盘，输入md5sum saf.img，比对md5是否为c1bacafb797dab2f6100f67d5b21647c

新的下载链接

如果MD5一致的话，输入dd if=saf.img of=/dev/mtdblock11，有返回后输入sync两到三次，会卡一段时间。结束后输入reboot重启

重启后telnet开在2323端口，账号root，密码默认为空

GCC编译器请选择mipsel，匹配了一个旧版的源(/etc/opkg/distfeed.conf):

查看代码

src/gz chaos_calmer_base http://archive.openwrt.org/chaos_calmer/15.05.1/ramips/mt7620/packages/base
src/gz chaos_calmer_telephony http://archive.openwrt.org/chaos_calmer/15.05.1/ramips/mt7620/packages/telephony
src/gz chaos_calmer_packages http://archive.openwrt.org/chaos_calmer/15.05.1/ramips/mt7620/packages/packages
src/gz chaos_calmer_routing http://archive.openwrt.org/chaos_calmer/15.05.1/ramips/mt7620/packages/routing
src/gz chaos_calmer_luci http://archive.openwrt.org/chaos_calmer/15.05.1/ramips/mt7620/packages/luci
src/gz chaos_calmer_management http://archive.openwrt.org/chaos_calmer/15.05.1/ramips/mt7620/packages/management

用这段过签名失败

# 由于签名一直过不去，猜测是算法改了，只能采用这种dirty的方法
cd /usr/bin
cp usign usign.bak # atomic needed
rm usign
echo '#!/bin/sh
exit 0' > usign
chmod a+x usign
 
# 装软件请用opkg aW5zdGFsbA==
# (没错，就是install的base64编码，卸载同理)

请务必使用passwd修改root密码！否则onu暴露在外网被当肉鸡概不负责！

(p.s. 这款猫的主系统也是squashfs，想要修改的自行提取，Linux系统下修改吧~但CFE没密码进不去，刷砖了大概率只能上编程器喵~)

提供一个备份: 下载链接 (密码写的很清楚了，不要问)

四.救砖

发现系统的/etc是可写的ubi分区，因此我修改了一些文件，然后用chattr +i /etc/shadow固定，结果悲剧了...8080服务起不来，telnet登不进去，重置之后直接半砖了...QWQ

参考文章，这款猫直接引出了ttl插针，遂拆之。我的这款已经没有丝印了，定义如图：

网线口朝上，自上而下是TX RX GND

使用PuTTY链接，速率115200，跑码结束后竟然不是shell，按惯性输入?，输enable和shell，竟然也要密码…

参考文章，这个密码是固定的LA(ImvZx%8，输入后成功进系统，原模原样复原即可

又翻了一下，CFE的账号密码是电信的超级密码

主系统的busybox被魔改过，-h的帮助文档是乱的，并且普通用户无权使用vi...

这个网关是4.0的，但是连不上小翼管家，提示未连接插件中心，8080后台显示连接成功，奇怪...