7.11我拿到root權限了哈哈哈!!!!!!!!!!
首先看下登錄界面:
電信辦寬帶時順便(捆綁)買的,沒想到登錄界面看着挺漂亮。據說有256M的內存,不拿來干點別的豈不浪費?雖然登錄界面不是luci,但抓包發現在不斷call ubus,因此判斷系統為魔改的openwrt,嘗試破解並登錄光貓系統。
1.拆機法 機身后四個螺絲很好解 有很大一塊散熱板 旁邊標好了TX RX 。連測電都不用直接ttl板連接,啟動時打出了log,但啟動完立即關閉了tty,無法輸入命令,遂放棄。
2.修改固件法 在磊科官網(netcoretec.com)找到了路由器的固件
下載后用binwalk分析,得到了jffs2格式的根目錄文件系統
但固件沒有被完整剝離開,無法直接掛載
(小注:不是沒安裝jefferson的問題 即使安裝也依舊無法掛載)
所以使用mtdram掛載:
sudo apt install mtd*
modprobe mtdblock
modprobe mtdram total_size=25600 erase_size=64 #25600=25600K=25M
掛載成功,但丟失了幾個目錄,如果還要修改的話刷回去只會讓路由器再也開不了機。
3.尋找漏洞法:好在www目錄完好無損(嘆氣)
在/www/cgi-bin(相對於固件根目錄)下發現了telnet cgi 打開發現這就是控制telnetd的腳本!
起初以為pwd和user可以亂給,嘗試幾下發現user和pwd兩個參數就是路由器的管理賬號和密碼!(useradmin/設置的密碼)
成功了。
使用
telnet 192.168.2.1直接連上路由器 要求輸入賬號密碼
賬號經嘗試有admin/useradmin兩個,密碼不知道而且有次數限制。。。超過3次鎖5分鍾。
這時我們就要找找線索了。
經查找,在/etc/gponcfg下有兩個xml,疑為系統默認配置,一個是默認,一個是河南。筆者不在河南,因此看默認配置。
在1658行終於看到了useradmin的正確密碼,是Zxic521!(對的,這個路由器的芯片是中興的...肉麻)
登陸成功,但是只有user權限,root密碼爆破半天不起效果
按照useradmin的奇葩密碼邏輯,我們嘗試su后輸入root,admin,public,Zxic521!...都不行
直到我少打了一個!,密碼對了...驚喜!!!
root密碼是Zxic521
至此,拿到完整權限,架構是armv7l,設備存儲容量極大足夠折騰,教程結束!
附贈mtd結構表:
dev: size erasesize name
mtd0: 08000000 00020000 "whole flash"
mtd1: 00200000 00020000 "u-boot"
mtd2: 00300000 00020000 "parameter tags"
mtd3: 00500000 00020000 "kernel0"
mtd4: 00500000 00020000 "kernel1"
mtd5: 00800000 00020000 "usercfg"
mtd6: 00100000 00020000 "others"
mtd7: 00300000 00020000 "wlan"
mtd8: 02000000 00020000 "rootfs0"
mtd9: 02000000 00020000 "rootfs1"
mtd10: 00800000 00020000 "framework"
mtd11: 00800000 00020000 "framework1"
mtd12: 01500000 00020000 "apps"
#基本上都是jffs2/ubifs,可掛載成讀寫模式修改!內存真的有256m...服了