联通光猫 pt927g gpon 如何获取管理密码？

Posted 2023-05-09

辽宁地区的光猫，实验了很多方法都不行。普通账号登录看不了注册号不敢用重置按钮

参考技术A 目前，许多服务提供商都是智能光学猫。所有数据配置，包括宽带帐户密码，都由office端进程自动发布。只要硬件没有问题，连接正常，光猫可以自动获取数据，无需手动进入光猫配置界面。但是，如果您随意输入光学cat以修改配置或重置光学cat，则光学cat中的数据可能错误或丢失，并且无法自动修复。您需要声明故障，维护人员可以手动修复。 参考技术B 目前，许多服务提供商都是智能光学猫。所有数据配置，包括宽带帐户密码，都由office端进程自动发布。只要硬件没有问题，连接正常，光猫可以自动获取数据，无需手动进入光猫配置界面。但是，如果您随意输入光学cat以修改配置或重置光学cat，则光学cat中的数据可能错误或丢失，并且无法自动修复。您需要声明故障，维护人员可以手动修复。 参考技术C 目前很多服务提供商用的都是智能光猫，所有的数据配置包括宽带账号密码均由局端流程自动下发，只要硬件没有问题且连接正常，光猫能够自动获取到数据，不需要人工进入光猫配置界面。但如果您进入光猫随意修改配置或者复位光猫，光猫中的数据就可能会发生错误或者丢失，并且不能自动修复，需要申报故障，由维修人员人工干预才能修复。 参考技术D 目前很多服务提供商用的都是智能光猫，所有的数据配置包括宽带账号密码均由局端流程自动下发，只要硬件没有问题且连接正常，光猫能够自动获取到数据，不需要人工进入光猫配置界面。但如果您进入光猫随意修改配置或者复位光猫，光猫中的数据就可能会发生错误或者丢失，并且不能自动修复，需要申报故障，由维修人员人工干预才能修复。 第5个回答  2022-08-29 目前很多服务提供商用的都是智能光猫，所有的数据配置包括宽带账号密码均由局端流程自动下发，只要硬件没有问题且连接正常，光猫能够自动获取到数据，不需要人工进入光猫配置界面。但如果您进入光猫随意修改配置或者复位光猫，光猫中的数据就可能会发生错误或者丢失，并且不能自动修复，需要申报故障，由维修人员人工干预才能修复。

联通光猫管理员密码分析（HG220GS-U）

联通光猫管理员密码分析

联通光猫型号：HG220GS-U
软件版本：E00L3.03

运营商一直在做光猫防破解，对抗升级还是比较快的，所有的分析结论都和版本绑定的，因为运营商或者路由器的开发商看到后可能立马就改了。

我自己主要是要改为桥接，这个需求其实打联通的保修电话让局端改一下应该就能搞定。不过之前看过一两个老版本的教程，也照葫芦画瓢破解成功了，但我手上的这个版本有点麻烦，现有的教程基本都失效了。有点好奇，这次花点时间仔细看了一下，不过这次被某些人打击得比较厉害，说果然是IT狗云云，只知道和代码过不去。都云作者痴，谁解其中味！

这个光猫，先要用普通的user用户和印在光猫背面的密码登录进去，然后改链接为http://192.168.1.1/servmngr.html，在这个页面中把管理员帐号enable，telnet、ftp服务也enable了。telnet服务的默认用户名和密码都是admin。进入telnet后运行sh就是普通的shell界面。这些是在网上仔细搜能搜到的。

既然telnet、ftp权限都有了，那就把文件拿出来分析好了。最后要分析的是下面三个文件，关键函数是cgiAuthAdminPassword()，点到为止，有兴趣的可以自己看看。话说Ghidra对MIPS的反编译还是可以看的。新版的IDA 7.5虽然支持MIPS反编译，不过我没有。
/bin/httpd
/lib/public/libcms_util.so
/lib/public/libaes.so

下面是根据光猫MAC地址计算CUAdmin这个用户的密码。EPON的猫需要用其base MAC，也就是“设备基本信息”那个页面中看到的MAC/SN的值，大写。

#include <stdio.h>
#include <atlstr.h>
 
#include <openssl/aes.h>
#pragma comment(lib, "libeay32.lib")
 
static const unsigned char encryptionKey[] = "JmpwfGjcfsjpnfJmpwfGjcfsjpnf0000";
 
void Encrypt(unsigned char *in, size_t inLen, unsigned char *out, size_t &outLen)
{
    AES_KEY aesContext;
 
    AES_set_encrypt_key(encryptionKey, 256, &aesContext);
 
    outLen = 0;
    for (size_t k = 0; k < inLen; k += AES_BLOCK_SIZE, outLen += AES_BLOCK_SIZE)
    {
        unsigned char padded[AES_BLOCK_SIZE] = {};
        memcpy(padded, &in[k], (k + AES_BLOCK_SIZE) < inLen ? AES_BLOCK_SIZE : inLen - k);
        AES_ecb_encrypt(padded, &out[k], &aesContext, AES_ENCRYPT);       
    }
}
 
int main(int argc, char** argv)
{
    static unsigned char mac[] = "112233445566";
 
    constexpr size_t insize = sizeof(mac) - 1;
    constexpr size_t remain = insize % AES_BLOCK_SIZE;
    constexpr size_t outsize = remain ? insize - remain + AES_BLOCK_SIZE : insize;
 
    unsigned char out[outsize] = {};
 
    size_t outlen = 0;
    Encrypt(mac, sizeof(mac) - 1, out, outlen);
 
    CString passwd;
    for (size_t k = 0; k < outlen; ++k)
    {
        CString t;
        t.Format(L"%02X", out[k]);
        passwd += t;
    }
 
    _tprintf(_T("password for CUAdmin: %s
"), (LPCTSTR)passwd);
}