天翼电信路由器破解解析配置

天翼电信路由器破解解析配置


以下介绍只供测试，不得用于商业和非法用途，后果自负。

测试设备：
设备型号: RG100S-BA
设备标识号: AC6E1A-C4401**********E2
硬件版本: RG100S-BA_V1.0
软件版本: RG100S-BA_V1.1

简：
拔掉电话线登陆http://192.168.1.1
telecomadmin----nE7jA%5m
下载并修改配置http://192.168.1.1/backupsettings.conf
关闭修改上传页面http://192.168.1.1/tr69cfg.html
上传配置http://192.168.1.1/updatesettings.html
插起电话线拨号冲浪

附：一些路由器RG100A-BA可能会用到的隐藏页面地址：
配置文件：http://192.168.1.1/backupsettings.conf
配置文件上传http://192.168.1.1/updatesettings.html
关闭远控：http://192.168.1.1/tr69cfg.html
功能选择：http://192.168.1.1/scsrvcntr.cmd?action=view
创建新证书请求：http://192.168.1.1/certadd.html
载入证书：http://192.168.1.1/certloadsigned.html
导入CA证书：http://192.168.1.1/certimport.html
创建新证书请求：http://192.168.1.1/certadd.html
ADSL BER测试启动：http://192.168.1.1/berstart.html
ADSL BER测试结果：http://192.168.1.1/berstop.html
WAN服务配置向导：http://192.168.1.1/wansrvc.html
WAN统计数据报表：http://192.168.1.1/statswan.html
ATM PVC配置：http://192.168.1.1/cfgatm.html
接入时间限制：http://192.168.1.1/todmngrview.html
接口分组：http://192.168.1.1/portmap.html
附参考：
wanConnName.sort();
var wanConn = new Array(8);
wanConn[0] = "1_TR069_R_8_46|2|1|0|0|0|-1|-1|1492|10.248.89.134|255.255.252.0|10.248.88.1|192.168.100.30||atm0_1|0||||||0|0|0|1|0|1|1|0|8|46|UBR|0|0|0|LLC";
wanConn[1] = "2_Other_B_8_45|3|8|34|0|0|-1|-1|1500||||||atm1_2|0|0|0|0|0|0|0|0|0|2|0|1|0|1|8|45|UBR|0|0|0|LLC";
wanConn[2] = "3_INTERNET_B_8_35|3|2|0|0|0|-1|-1|1500||||||atm2_3|0|0|0|0|0|0|0|0|0|3|0|1|0|1|8|35|UBR|0|0|0|LLC";
wanConn[3] = "4_INTERNET_B_8_81|3|2|0|0|0|-1|-1|1500||||||atm3_4|0|0|0|0|0|0|0|0|0|4|0|1|1|1|8|81|UBR|0|0|0|LLC";
wanConn[4] = "5_INTERNET_B_0_35|3|2|0|0|0|-1|-1|1500||||||atm4_5|0|0|0|0|0|0|0|0|0|5|0|1|1|1|0|35|UBR|0|0|0|LLC";
wanConn[5] = "6_INTERNET_B_8_88|3|2|0|0|0|-1|-1|1500||||||atm5_6|0|0|0|0|0|0|0|0|0|6|0|1|1|1|8|88|UBR|0|0|0|LLC";
wanConn[6] = "7_INTERNET_B_0_67|3|2|0|0|0|-1|-1|1500||||||atm6_7|0|0|0|0|0|0|0|0|0|7|0|1|1|1|0|67|UBR|0|0|0|LLC";
wanConn[7] = "";

var wanConnParam = new Array(8);
button//恢复默认
restoreClick()
btnReset()//重启-宽带设置
buttonSave(0)//保存/应用-宽带设置
buttonSave(1)//删除-宽带设置

javascript:document.body.contentEditable='true';document.designMode='on'; void 0
javascript:document.body.contentEditable='false';void 0

详解：

大部分用户名都是(telecomadmin)默认密码(nE7jA%5m)(进不去还有拆机破解)破解思路都是差不多的。
首先，为了安全起见，破解前把电话线拔了，电信路由默认设置里有一项是每隔一段时间上报你路由的设置，并将路由的设置与服务器同步,电信发现你在破解的话会封你的路由器。
使用电信提供给你的用户帐号进入路由器IP地址为http://192.168.1.1帐号为useradmin打开http://192.168.1.1/backupsettings.conf这是链接是路由器的配置文件，IE浏览器默认会下载这个文件，提示无法获取此文件时，使用下载工具，下载完后使用记事本打开这个文件，搜索password，<Password>nE7jA%5m</Password>夹着的那串字符是密码（从头开始找，第一个就是超管的密码），搜索user，<AdminUserName>telecomadmin</AdminUserName>，（从头开始找，第一个就是超管的帐号）用这个帐号密码登陆后转到远程控制页面，把远程控制服务器地址改随便改成一个不存在的网址。不过我的路由器里修改完没有发现保存按钮，其实这个是因为电信将页面上的某些按钮隐藏掉了，只需打开远程控制的原网页修改即可，网址为：http://192.168.1.1/tr69cfg.html。
为了保险起见，防止电信再次改回来，将超管和普通用户的密码改掉（电信也可能会使用这种方法获得超管的密码）
普通用户密码可以直接在路由器用户管理里修改。而超管的密码需要在配置文件中修改，修改方法可以使用超管账号登陆，
找到USB备份，插入U盘到路由器上，将配置文件配份下来，打开搜索超管的密码，搜索到后替换成你想要更改的密码。然后通过备份页的恢复配置。（有的路由器中备份出来的配置文件是经过加密需要解密，解密配置文件-修改配置后一定要加密才能恢复。
简单的方法，就是直接修改下载下来backupsettings.conf文件，正在使用的配置文件，直接将里面的原密码替换掉，再打开隐藏页面地址：http://192.168.1.1/updatesettings.html上传配置就可以了。）
这个方法除非电信在路由中安装了一个隐藏的后门。修改前一定要记得将原版的数据记录下来备份，否则修改错了连不上网就悲剧。


配置文件的地址的隐藏页面的解破解的思路：
首先查看登陆页面源码，看看源码中是否含有超管密码，在路由的登陆页面中并没有密码。
登陆useradmin帐号，查看源码，在源码中爆出了超管的用户名为telecomadmin，说明电信没有更改超管帐号，但是密码在源码中并没有提到。在切换不同页面时发现网页的网址一直为http://192.168.1.1/main.html，这就表示所有查看到的页面都是通过main.html框架载入的，所看到并不是原页面。
找到所有原页面打开看看，找原页面的地址只需右击main上的按钮选择属性，里面写有页面源地址。不过打开后发现所有内容跟原来从main中看到的一样，这就代表main并没有过滤掉网页的信息，但是在寻找过程中发现，有部分网页地址前面都有一个ct，试试将ct去掉后在访问网页看看，果然，在设备信息页面发现了与main不同的地方，多出了上行速率、下行速率，板卡ID等等信息，由此也说明电信并没有禁止useradmin用户访问隐藏页面。不过找到了隐藏页面后还是没有找到超管密码？
在登陆帐号时，提交登陆的网址为http://192.168.1.1/login.html?user ...&password=XXXXX，这是典型动态页面的提交方式，也就是说超管的帐号密码是存储在数据库里，在网站源码中是不可能找到。
判断是数据库，试试能否将数据库下载，以此得到超管的密码，既然是向数据库提交数据，就使用抓包工具获得数据提交地址，抓包后的提交地址为http://192.168.1.1/backupsettings.conf看来这个路由使用的不是数据库文件。下面登陆后在浏览器中下载它，下载完看上面操作说明。
使用超管帐号登陆再次抓个包看看。数据包中将所有隐藏页面的地址都显示出来！路由的破解完成！
在这里提供一些路由器RG100A-BA可能会用到的隐藏页面地址：
配置文件地址：http://192.168.1.1/backupsettings.conf
导入配置文件上传页面http://192.168.1.1/updatesettings.html
关闭远控页面：http://192.168.1.1/tr69cfg.html
功能选择页面：http://192.168.1.1/scsrvcntr.cmd?action=view
创建新证书请求：http://192.168.1.1/certadd.html
载入证书页面：http://192.168.1.1/certloadsigned.html
导入CA证书：http://192.168.1.1/certimport.html
创建新证书请求：http://192.168.1.1/certadd.html
ADSL BER测试启动：http://192.168.1.1/berstart.html
ADSL BER测试结果：http://192.168.1.1/berstop.html
WAN服务配置向导：http://192.168.1.1/wansrvc.html
WAN统计数据报表：http://192.168.1.1/statswan.html
ATM PVC配置：http://192.168.1.1/cfgatm.html
接入时间限制：http://192.168.1.1/todmngrview.html
接口分组：http://192.168.1.1/portmap.html
目前，还没有解决限制四台的问题，有时间再去进行解读。这个型号的路由值得研究和支持，就是无线有线总量限制四台机器上网有点不足。
以上介绍只供测试，不得用于商业和非法用途，后果自负。