V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ttyUSB0
V2EX  ›  宽带症候群

迁移宽带,电信配了个从没听过的猫,还不给超密,好不容易把 telnet 打开了,却没法提权

  •  
  •   ttyUSB0 · 117 天前 · 3246 次点击
    这是一个创建于 117 天前的主题,其中的信息可能已经有所发展或是发生改变。

    坐标 023 ,把宽带从区县迁移到主城后顺便升级到了千兆,电信也给换了一个 XGPON 的猫,型号是「 TGCT-500G 」,中文品牌叫「特艺」,之前从来没听说过有这品牌,另外这个猫也没有 USB 口

    安装完过后问师傅要超管密码,师傅说他们现在也没权限看,也就没给我,我说那我以后要改桥接怎么办,他说有需求就联系他,他后台帮忙改

    Google 了下,完全没有跟这个猫有关的资料,试着用破解天邑猫的套路(毕竟名字听着差不多),居然成功打开了 Telnet ,以为成功了,结果又卡在了 su 提权这一步,貌似是 root 密码算法又不太一样了(都是根据设备 MAC 计算的)

    然后又尝试用旧版小翼管家抓包拿超密,结果也绑定不了这玩意

    现在不知道怎么办才好了,TR069 和插件下发这些东西留着实在太膈应人了

    1

    第 1 条附言  ·  116 天前

    更新:

    谢谢大家回复,想了一天办法,折腾了一天,没辙了,最后去闲鱼花了 5 块买了超密,把 TR069 干掉了,现在的超密和之前已经不一样了,格式已经从原有的 telecomadmin 前缀 + 数字,变成了纯纯字母 + 数字 + 特殊符号

    比较有意思的是,现在这个光猫的网页前端里,除了通用的给删除按钮加 disable 属性防删之外,提交函数的 JS 还会判断用户是不是在删 TR069,检测到了就弹窗不让操作,幸亏是只在前端在限制,也幸亏这套前端代码比较老,不然就难搞了

    另外今天研究怎么给 Telnet 提权时,虽然没成功,但是得出了三个结论

    1. 光猫的 root 账户应该是被删了,现象是执行 su - root 时直接报找不到用户,本地电脑拿 Docker 跑了个 Alpine 尝试复现了下,症状一模一样,这应该就能解释为何天邑猫的套路前半截能用,后半截用不了了
    2. 折腾 Telnet 默认低权限账户时(用户名应该是 nuser),不经意发现了 b01odmv3 这个插件疑似在定时给电信上报连到光猫的所有设备,其中包含设备的 MAC 地址...
    3. 系统里承载 FTP 服务的用户权限可能比 Telnet 默认用户权限更高

    看来运营商给的东西真得留个心眼,准备另开一个主题说说第二点

    32 条回复    2024-06-05 18:01:13 +08:00
    CBYellowstone
        1
    CBYellowstone  
       117 天前
    师傅肯定有权限,要就完事了,报障
    hebian
        2
    hebian  
       117 天前 via Android
    如果实在没招了,可以尝试付费解决,淘宝和闲鱼都有卖这种获取超密的服务,价格不等。
    mohumohu
        3
    mohumohu  
       117 天前
    把 loid 抄下来 恢复出厂设置自己配光猫不就得了
    yujizmq
        4
    yujizmq  
       117 天前
    自己换猫或者闲鱼几块钱找人查超密
    Puteulanus
        5
    Puteulanus  
       117 天前
    https://www.rosnas.com/2856.html
    友华的光猫 telnet 密码是 admin/TeleCom_1234 和 TeleCom_XXXXXX ,X 为光猫 MAC 地址最后 6 位小写,你试试行不
    ttyUSB0
        6
    ttyUSB0  
    OP
       117 天前 via Android
    @mohumohu 家里还有固话,所以手动配置起来还挺麻烦的,除了 Loid 还得弄到语音鉴权密码
    ttyUSB0
        7
    ttyUSB0  
    OP
       117 天前 via Android
    @CBYellowstone 不过电信装维人员现在好像确实不轻易给超密了,21 年那会儿我问师傅要密码,人家很爽快就给了
    ttyUSB0
        8
    ttyUSB0  
    OP
       117 天前 via Android
    @Puteulanus 谢谢回复,telnet 开启后是可以登录进系统的,但是用户几乎没有权限,天邑的猫也是这样,需要用 su 提权,现在是卡在提权这一步,按套路来说提权的密码是纯随机字符串,另外验证失败超过限制后会禁止执行 su 命令 1 分钟左右
    ttyUSB0
        9
    ttyUSB0  
    OP
       117 天前 via Android   ❤️ 1
    @hebian
    @yujizmq 有想过闲鱼,哈哈哈,但是还是想自己动手尝试一下,万一成功了也能帮到一部分人,实在不行再花钱解决
    LXGMAX
        10
    LXGMAX  
       116 天前
    直接找某鱼十块钱后台帮你恢复成默认密码
    465456
        11
    465456  
       116 天前
    师傅后台查密码,系统有记录,出事会查到师傅
    465456
        12
    465456  
       116 天前
    现在移动查超级密码,通过故障工单来查,或叫后台手动查
    cr3bit
        13
    cr3bit  
       116 天前 via iPhone
    @ttyUSB0 在要求拖一路光纤专门装固话
    KevinDo2
        14
    KevinDo2  
       116 天前
    改桥接可以找电信客服
    KevinDo2
        15
    KevinDo2  
       116 天前
    电信的猫的超密现在好像都是动态的了
    EndymionLiao
        16
    EndymionLiao  
       116 天前
    我这边的电信师傅很爽快唉,问就给超密。
    mytsing520
        17
    mytsing520  
       116 天前
    现在光猫超密凭客服故障工单申请查看,操作完毕故障工单结单后超密远程自动修改,如无故障工单,日常不定期批量修改终端超密;如远端无法修改超密,强制断网
    回收地市公司超密权限,集中到省公司
    任何申请超密省公司审计,没故障工单的直接追责一线装维和地市公司并扣除 KPI

    ——之前看到的某省运营商的 PPT
    icepic
        18
    icepic  
       116 天前 via Android
    如远端无法修改超密,强制断网 可还行

    也就是说,我自己买一个第三方光猫配置就无法上网了呗?
    allenby
        19
    allenby  
       115 天前 via Android
    @icepic 听说 gxb 有要求,以后只能服管了
    ExplodingFKL
        20
    ExplodingFKL  
       115 天前
    建议买商宽,没这么多屁事
    CBYellowstone
        21
    CBYellowstone  
       114 天前
    @icepic 远端咋知道改没改,还不是本地上报的,大不了弄个假装改了的机制就行
    JWys99
        22
    JWys99  
       68 天前
    深圳电信,类似的光猫,TGCT-526G 。打电话给师傅要到密码了,说是 10 分钟有效
    redbean
        23
    redbean  
       61 天前
    同病中人,我也是今年换的 也是这东西,左边广东
    overstar
        24
    overstar  
       22 天前
    楼主 telnet 怎么打开的
    ttyUSB0
        25
    ttyUSB0  
    OP
       17 天前
    @overstar 打开 Telnet 方法可以参考 https://www.right.com.cn/forum/thread-5128686-1-1.html ,但是没法 su 提权,最后还是闲鱼花钱搞到超管密码了
    FreedomUCK
        26
    FreedomUCK  
       10 天前
    @ttyUSB0 楼主,你好,请问你怎么干掉 TR069 的?
    有相关指令吗。
    FreedomUCK
        27
    FreedomUCK  
       10 天前
    你的第 2 点,是否用桥接可破? 连接路由器的设备,光猫也能记录?

    有 4 个基本插件,属于必定有的:
    启动 b01odm 插件。
    启动 inter_connd 插件。
    启动 u01 插件。
    启动 opmaintain 插件
    ttyUSB0
        28
    ttyUSB0  
    OP
       10 天前
    @FreedomUCK 浏览器 F12 可破,首先需要去掉删除按钮的 disabled 属性,然后再重写一下提交表单的 JS 代码(提交表单的 JS 里有判断用户是否正在删除 TR069 的逻辑,删除即可),就可以顺利移除 TR069 了
    FreedomUCK
        29
    FreedomUCK  
       9 天前
    @ttyUSB0 感谢你的回复。我不是程序员,不懂 JS 代码。
    为此我还特意问了 GPT-4o 的,也给了我答案,可是我依然看不懂 @_@

    删除键是灰色的,这个好解决。
    F12----ctrl+f 搜索“删除”2 个字,删除 disabled 代码即可。

    然后 GPT 说再到“Sources"(源代码)标签,找到与 TR069 删除相关的 JavaScript 代码文件。
    可是我真的看不懂 @_@...
    只能笨办法 ctrl+f 搜索 tr069,还只能一个文件一个文件的点进去。

    最后我在 wan_check.asp 这个文件里找到了一些代码,也看不懂。
    function SearchTr069WanInstanceId(curwan)
    {
    var CurWanService = '';
    var Wan = GetWanList();

    for(var i = 0; i < Wan.length; i++)
    {
    CurWanService = Wan[i].ServiceList;
    if (CurWanService.indexOf("TR069") >=0 )
    {
    if( curwan.domain != Wan[i].domain)
    {
    return Wan[i].domain;
    FreedomUCK
        30
    FreedomUCK  
       9 天前
    删除 disabled 之后,删除 2 个字可点了。
    但是点了没反应,也没弹窗。
    会自动退出。
    FreedomUCK
        31
    FreedomUCK  
       9 天前
    怎么算干掉了 TR069?
    远程管理 - ITMS 服务器 - TR069 设置
    启用周期上报 这个灰色的 沟✔ 依然在的。


    网络-网络连接 - 第一个就是 TR069
    使能 WAN 的 沟✔ 倒是取消了
    FreedomUCK
        32
    FreedomUCK  
       9 天前
    https://i.postimg.cc/YqfjnLKw/nnnmmm.jpg
    我补全了 shell ,按照论坛大神说的指令:saf-huawei 进入插件容器,密码 upt
    但是命令无效,提示:Please run as 'root'.WAP(Dopra Linux) #
    根本无法进入容器。

    下面 2 张图片,是我用 ps -w 指令到处的文件??? (都不知道这个命令用来干嘛的)
    https://i.postimg.cc/Z54v4FFR/iiiuuuu.jpg
    https://i.postimg.cc/8Cn7d88J/yyyuuu.jpg

    无法进入插件容器,自然无法使用 /sbin/ctc-app.sh Uninstall 这类删除插件的指令了 @_@

    @ttyUSB0
    @xiaoduhappy2018

    大佬能抽空指导一下吗,我是小白....
    谢谢!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2628 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 02:10 · PVG 10:10 · LAX 19:10 · JFK 22:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.