如何通过TTL调试光猫

作者：Sebao@知道创宇404实验室

序言

众所周知，光猫是现在每个家庭必备的一款设备，但是光猫背面写的账号密码，只是普通用户权限，会限制很多功能。这篇文章讲述，如何通过TTL调试的方法获取光猫超级管理员的权限。

0x00 名词解释

引脚介绍（COM口pin比较多，但是常用的也是这几个）：

VCC：供电pin，一般是3.3v，在我们的板子上没有过电保护，这个pin一般不接更安全

GND：接地pin，有的时候rx接受数据有问题，就要接上这个pin，一般也可不接

RX：接收数据pin

TX：发送数据pin，我之前碰到串口只能收数据，不能发数据问题，经baidu，原来是设置了流控制，取消就可以了，适用于putty,SecureCRT

在调试的时候, 多数情况下我们只引出rx，tx即可.

0x01 所需工具：

1，万用表

2，TTL转USB版

3，电烙铁

4，杜邦线若干只

5，SecureCRT

0x02 华为光猫

TTL调试的第一步骤就是拆机，拆机步骤这里就不详细描述。这里先看一下拆下来的光猫板子是什么样子的。

TTL调试我们首先要找出 GND，RX，TX。从图中可以看到，已经标识出了 GND，RX，TX的接口，就需要通过USB转TTL小板串口读取固件。 查找GND，可以用万用表查找。

用杜邦线连接到板子上，线序为GND接GND，RXD接TTL板的TXD，TXD 接TTL板的RXD。

USB端连接上电脑，在控制面板，设备管理器查看串口（一般在COM1-COM12之间），Connection type设置为：Serial，Serial line设置为你电脑上显示的串口，Speed设置为115200，然后连接。接通电源后等待，在这一段时间内串口应该会打印很多启动信息，启动差不多后，敲回车：

然后输入默认的账号root 密码 admin登录进去，输入shell命令，进入busybox.看一下此设备的cpu架构，用的是ARM7.

准备查找超级管理员的密码。进入/mnt/jffs2目录，复制配置文件hw_ctree.xml到myconf.xml.gz中。这个文件是AES加密的，所以先解密，命令为aescrypt2 1 myconf.xml.gz tmp。

解密后的文件还是被压缩了的，所以要用gzip命令展开压缩文件myconf.xml.gz，得到myconf.xml。命令为：gzip -d myconf.xml.gz。

然后用 grep 命令 查找telecomadmin，也就是超级管理员的密码。命令为：grep telecomadmin myconf.xml

0x03 烽火光猫

和上述步骤一样，首先拆开光猫找到 GND，RX，TX。这个板子人性化的已经标明了GND，RX，TX。

所以直接用杜邦线连接到板子上，线序为GND接GND，RXD接TTL板的TXD，TXD 接TTL板的RXD。

USB端连接上电脑。

接通电源后等待，在这一段时间内串口应该会打印很多启动信息，这里直接CTRL+C 跳过直接进入shell模式，这个也算是一个“后门”。输入命令 cat proc/cpuinfo查看cpu的架构。

进入shell获取超级管理员的方法差不多，参考上文即可，这里不再详细描述。

0x04 长虹光猫

和上述步骤一样。

因为这里没有针孔，所以需要焊接杜邦线到板子上，以便于固定杜邦线。

USB端连接上电脑。

0x05 总结

感谢 知道创宇404实验室 dawu，fenix提供的思路以及技巧。