目测此方法已失效,电信的估计是看到了些啥,请大家有需要的对准版本号尝试本文方法,本文方法发布日期是 2016/11/20(当时是完全自己研究的)

场景:

当前已知的方法基本上无效

无web_shell_cmd.gch
无db_backup_cfg.xml
无manager_dev_config_t.gch
无backupsettings.conf
只要查了光纤telnet端口封闭,并主动断掉当前的tcp链接
index.gch单入口web服务
telnet方法:

拔掉光猫背后的光纤线,一定先记录好LOID,之后会用到,不过网上营业厅也可以查得到

http://192.168.1.1/hidden_version_switch.gch 选择 default version 等待重启

http://192.168.1.1/hidden_version_switch.gch 选择自己的省份 我的是Sichuan version

然后 telnet 192.168.1.1 密码网上有 root Zte521 四川的version是 Zte521@SC 这个密码和上一步你选的那个version有关

分析了一下 /home/httpd/public/index.gch 发现只有特定的gch文件才能被index.gch来IMPORT后直接访问,否则只有通过getpage.gch 来访问。因为现在的web目录是/home/httpd/public/,这尼玛还玩了个重写单入口。

其中 在switch里包含了已经删除的web_shell_cmd.gch,那就拿他做文章。由于我只要插上光纤telnet必断,网上的方法失败。尝试写个shell脚本sleep一下等LOID注册后把密码直接输出到web根目录,可惜,他把进程也杀了。

无奈,只好写个gch读取下,保存本地先,用python起个SimpleHTTPServer,好在光猫的PATH里有wget,哎,把文件wget进/home/httpd/目录,直接命名为web_shell_cmd.gch好了,毕竟已经是不存在的文件了,还能直接被引入。

<%
IMPORT FILE “common_gch.gch”;
var FP_IDENTITY, FP_HANDLE, FP_OBJNAME, FP_INSTNUM;
FP_OBJNAME = “OBJ_USERINFO_ID”;
FP_IDENTITY = “”;

FP_INSTNUM = query_list(FP_OBJNAME, “IGD”);

var name,
pwd;
for (var i = 0; i < FP_INSTNUM; i++) { FP_HANDLE = create_paralist(); FP_IDENTITY = query_identity(i); get_inst(FP_HANDLE, FP_OBJNAME, FP_IDENTITY); name = get_para(FP_HANDLE, “Username”); pwd = get_para(FP_HANDLE, “Password”); name = delMoreSlash(name); pwd = delMoreSlash(pwd); =name; =” – “; =pwd; =”\n”; destroy_paralist(FP_HANDLE); } %>
然后插上光纤,注册LOID,静静等待1分钟,访问http://192.168.1.1/web_shell_cmd.gch


劉珈X./

劉珈X./

斯人若彩虹 遇上方知有

0 条评论

发表评论