RSS Feed
更好更安全的互联网

如何通过TTL调试光猫

2018-01-17

作者:Sebao@知道创宇404实验室

序言

众所周知,光猫是现在每个家庭必备的一款设备,但是光猫背面写的账号密码,只是普通用户权限,会限制很多功能。这篇文章讲述,如何通过TTL调试的方法获取光猫超级管理员的权限。

0x00 名词解释

引脚介绍(COM口pin比较多,但是常用的也是这几个):

VCC:供电pin,一般是3.3v,在我们的板子上没有过电保护,这个pin一般不接更安全

GND:接地pin,有的时候rx接受数据有问题,就要接上这个pin,一般也可不接

RX:接收数据pin

TX:发送数据pin,我之前碰到串口只能收数据,不能发数据问题,经baidu,原来是设置了流控制,取消就可以了,适用于putty,SecureCRT

在调试的时候, 多数情况下我们只引出rx,tx即可.

0x01 所需工具:

1,万用表

2,TTL转USB版

3,电烙铁

4,杜邦线若干只

5,SecureCRT

0x02 华为光猫

TTL调试的第一步骤就是拆机,拆机步骤这里就不详细描述。这里先看一下拆下来的光猫板子是什么样子的。

TTL调试我们首先要找出 GND,RX,TX。从图中可以看到,已经标识出了 GND,RX,TX的接口,就需要通过USB转TTL小板串口读取固件。 查找GND,可以用万用表查找。

用杜邦线连接到板子上,线序为GND接GND,RXD接TTL板的TXD,TXD 接TTL板的RXD。

USB端连接上电脑,在控制面板,设备管理器查看串口(一般在COM1-COM12之间),Connection type设置为:Serial,Serial line设置为你电脑上显示的串口,Speed设置为115200,然后连接。接通电源后等待,在这一段时间内串口应该会打印很多启动信息,启动差不多后,敲回车:

然后输入默认的账号root 密码 admin登录进去,输入shell命令,进入busybox.看一下此设备的cpu架构,用的是ARM7.

准备查找超级管理员的密码。进入/mnt/jffs2目录,复制配置文件hw_ctree.xml到myconf.xml.gz中。这个文件是AES加密的,所以先解密,命令为aescrypt2 1 myconf.xml.gz tmp

解密后的文件还是被压缩了的,所以要用gzip命令展开压缩文件myconf.xml.gz,得到myconf.xml。命令为:gzip -d myconf.xml.gz

然后用 grep 命令 查找telecomadmin,也就是超级管理员的密码。命令为:grep telecomadmin myconf.xml

0x03 烽火光猫

和上述步骤一样,首先拆开光猫找到 GND,RX,TX。这个板子人性化的已经标明了GND,RX,TX。

所以直接用杜邦线连接到板子上,线序为GND接GND,RXD接TTL板的TXD,TXD 接TTL板的RXD。

USB端连接上电脑。

接通电源后等待,在这一段时间内串口应该会打印很多启动信息,这里直接CTRL+C 跳过直接进入shell模式,这个也算是一个“后门”。输入命令 cat proc/cpuinfo查看cpu的架构。

进入shell获取超级管理员的方法差不多,参考上文即可,这里不再详细描述。

0x04 长虹光猫

和上述步骤一样。

因为这里没有针孔,所以需要焊接杜邦线到板子上,以便于固定杜邦线。

USB端连接上电脑。

0x05 总结

感谢 知道创宇404实验室 dawu,fenix提供的思路以及技巧。

作者:dawu | Categories:安全研究技术分享 | Tags:

发表评论