天翼网关3.0（中兴F650 4.0）光猫破解方法（无需拆机）

重置之前拔光纤了吗？

拔了 按步骤操作的

你是哪个地区的？

同样错误。。F450 4.0

湖北

不应该啊，我看所有地区恢复默认密码都是这个，你要不光猫正反面拍个照发我邮箱看看？

一发邮件了

是同款，不应该啊。浙江这表好多人重置之后都可以的。可能不同地区的默认密码不同，浙江地区都是可以的，其他地区的我再看看。

F450 4.0 生产日期2021年1月，拔光纤按RESET键等灯闪后如果放开，不回恢复，连我设的useradmin密码及无线密码都没有还原。如果按RESET键等灯闪4次后不再闪全亮时放开，那么就恢复出厂了，Loid及配置都没有了。此时用户密码为telecomadmin和nE7jA%5m，可以通过U盘导出配置文件，但是从网上找的ztecfg.py解不了此配置文件、报错。它好像对3.0版的配置文件有效，对4.0版的不行。

破案了，进一步分析了一下，我发现各地的Reset策略是不一样的，浙江地区的reset会清除密码，但是像湖北，策略就不一样，按RESET按键不会清除密码，我贴出来大家可以对比一下：
湖北的：
"Hubei": { "RegionCode": "211", "KeyRestoreLocal": { "IsRmTr069EnvFile": "0", "IsSameAsRemote": "0", "IsDelLoid": "0", "IsClearAllCfg": "0" }, "KeyRestoreRemote": { "IsRmTr069EnvFile": "1", "IsDelLoid": "0", "IsClearAllCfg": "0" }, "MediaRestoreLocal": { "IsRmTr069EnvFile": "0", "IsSameAsRemote": "0", "IsDelLoid": "0", "IsClearAllCfg": "0" }, "MediaRestoreRemote": { "IsRmTr069EnvFile": "1", "IsDelLoid": "0", "IsClearAllCfg": "0" }
浙江的：
"Zhejiang": { "RegionCode": "214", "KeyRestoreLocal": { "IsRmTr069EnvFile": "1", "IsSameAsRemote": "0", "IsDelLoid": "0", "IsClearAllCfg": "1", "IsDelAuditKjwlPlugin": "1" }, "KeyRestoreRemote": { "IsRmTr069EnvFile": "1", "IsDelLoid": "0", "IsClearAllCfg": "1", "IsDelAuditKjwlPlugin": "1" }, "MediaRestoreLocal": { "IsRmTr069EnvFile": "1", "IsSameAsRemote": "0", "IsDelLoid": "0", "IsClearAllCfg": "1", "IsDelAuditKjwlPlugin": "1" }, "MediaRestoreRemote": { "IsRmTr069EnvFile": "1", "IsDelLoid": "0", "IsClearAllCfg": "1", "IsDelAuditKjwlPlugin": "1" } },

我也是湖北的，尝试多重reset按法，都不能恢复出厂，唉，卡在了第一步。

最新：加了8080，成功了，即使湖北的不能恢复出厂超密，也能顺利打开并拿到临时telnet密码，进去先更改超密，然后后一切自如。湖北电信F450，P1T4版本

这款不知道网上有没有现成的加解密工具，我是自己写的，你要不找找？找到了可以告诉我。

可以，发邮件给我。

已发jarvis@jarvisw.com邮箱

已经回复你了

大神，再帮忙解下db_user_cfg.xml，谢谢了

成功了，博主真乃神人

你修改了电信过段时间又会重新给你改回去的，你每次重改还是挺麻烦的。

改掉之后可以进去删除tr069就行了，删除按钮灰色但有个古老的bug就是F12去掉disable

删了tr069可能会影响后续业务下发，最好别删。

已经回你了

谢谢！我用telnet 把useradmin和密码输入却显示access denied 应该是无权限，是不是我在前面再次重置有关系.

你打开我发给你那个xml，搜索telnet，然后telnet的登录用户名是user,然后密码你里面自己看下是多少，ZTEG开头的那个

谢谢！刚按你的方式已经下载了db_user_cfg，再帮忙解下，感恩！！

暂时不打算放出，影响太大了。

你什么型号啊？

中兴f650 4.0

可以的话加我微信hai-zxc 谢谢

在做工具了，过段时间放出

大神，🐮🍺

不能清理密码

暂时不能，过段时间会有新方法放出。

你好，闲鱼有临时开telnet软件，应该能讲价到150元，有没有兴趣一块买😃

那个是绑定机器的，怎么一块买

他说是修改版，可以去除限制

那你可以买个试试。

😄，好贵，不舍的，能合伙买就好了

那就不用管

大神 使用文中的网页加解密改配置后可以TELNET登录成功了 但是执行命令 提示 /bin/sh: access denied应该怎么办呢

InitSecLvl要改成3，不然就会这样

啊，可是这一块没有InitSecLvl这一项啊

你软件版本号是多少？2.0.3P1T2吗？

同样的问题太，版本2.0.3P1T4,cfg文件里面没有InitSecLvl，但是telnet 登录后，cp 命令没有权限，真是无语啊

这个暂时没研究过。

同出现这种问题，加了一行InitSecLvl也没用，已经花了8块了

尴尬，我的也没有InitSecLvl

还有PPPOE拨号账号和密码。

是的，最新版本 全千兆。

我记得F650 4.0默认是开了UPNP的

捅一下也清除loid ？？

看省份，有的省清不掉的。

在路上了，要等一段时间

随便填个LOID点注册，过一段时间直接关掉就行，然后192.168.1.1就可以登了

UPNP功能好像默认就是开的

关闭的啊…以前是天邑的光猫。要进去开启。刚换的F650 。山东版本拔光纤后reset ，影响使用不？

你现在就是F650 哪个版本，4.0吗？

闲鱼5块钱买到超级密码了。upnp 是没打开的。

你买的是可以直接告诉你的那种吗？还是要远程到你机子上破解？

随便提供任何一个信息。宽带账号，loid， 光猫信息。一秒钟给你密码那种。估计电信内部的…要不然就是密码生成有规律……

应该是内部的，内部查比较容易。

武汉地区的 淘宝10元直接密码 估计是电信后台运维的

你好，能问一下咸鱼那个商家吗，我也搞一下。

看这里就行了。https://www.jarvisw.com/?p=1517

这个比4.0容易多了

解密以后的配置文件里面不是有吗？

进uboot救砖

这款的ttl接口我都不知道在哪？博主有没有相关的图？f450 4.0

参考一下：最右边那个是GND，其他几个孔你自己试试就可以。要自己焊针。ttl可以进uboot

已经摸清楚f450 v4的ttl接口，现在进了uboot，救砖思路不清楚，想跟博主求教，有思路或者有什么文章可以参考吗？

配合你的图，从左向右，第一个孔不用管，第二个是RXD，第三个是TXD ，第四个是GND。

找到方法了。载入0uImage文件， setenv bootargs console=$(console) root=/dev/mtdblock12 ro rootfstype=jffs2 mem=$(memsize); fsload 0uImage; 强制启动 bootm 0x42000000" 谢谢博主

再次请教楼主，我目前每次启动都需要uboot手动启动，应该是之前修改了文件导致crc校验失败。您知道如何替换crc的值吗？或者有什么办法可以自动绕过crc校验？我看了一下，有人分析这个问题，可以替换crc。但照着做发现依然呢有问题。http://www.chinadsl.net/forum.php?mod=viewthread&tid=168275&extra=&page=1。我在uboot下操作md的时候，总是卡死或者制定内存地址但每次都从头输出，停滞在这里了。

建议你重刷固件解决

楼主好，等候您多时，我现在也在尝试刷固件，我又买了只新猫，想提取固件： / # cat /proc/mtd dev: size erasesize name mtd0: 10000000 00020000 "whole flash" mtd1: 00200000 00020000 "u-boot" mtd2: 00200000 00020000 "others" mtd3: 00200000 00020000 "parameter tags" mtd4: 00200000 00020000 "wlan" mtd5: 00800000 00020000 "usercfg" mtd6: 01000000 00020000 "framework" mtd7: 01000000 00020000 "framework1" mtd8: 00600000 00020000 "dbus" mtd9: 02600000 00020000 "kernel1" mtd10: 02600000 00020000 "kernel2" mtd11: 07d00000 00020000 "plugin_data" mtd12: 025e0000 00020000 "rootfs" / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd2 of=/mnt/USB_disc1/rom/others.bin 4096+0 records in 4096+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd3 of=/mnt/USB_disc1/rom/parameter_tags.bin 4096+0 records in 4096+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd4 of=/mnt/USB_disc1/rom/wlan.bin 4096+0 records in 4096+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd5 of=/mnt/USB_disc1/rom/usercfg.bin 16384+0 records in 16384+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd6 of=/mnt/USB_disc1/rom/framework.bin 32768+0 records in 32768+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd7 of=/mnt/USB_disc1/rom/framework1.bin 32768+0 records in 32768+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd8 of=/mnt/USB_disc1/rom/dbus.bin 12288+0 records in 12288+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd9 of=/mnt/USB_disc1/rom/kernel1.bin 77824+0 records in 77824+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd10 of=/mnt/USB_disc1/rom/kernel2.bin 接下来，我不知道怎么能把这些bin变成可刷回去的固件，请教您了！！

格式乱，不好编辑，给您添麻烦了，总之就是执行了： / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd1 of=/mnt/USB_disc1/rom/u-boot.bin 这样的命令， 保存了一堆bin文件，现在不知道怎么刷回去。

你把旧猫的启动日志发我邮箱看看，哪里有问题导致起不来

给您发邮件了。

主要是不知道哪里搞来f460 v4的固件，您如果有发一份给我，我刷回来应该就ok了。或者怎么从活猫里面提取？我手里还有一个活的

感谢博主帮忙，猫已救活，方法分享如下： 找台新猫，按博主方式开启telnet，进入以后。 # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd9 of=/mnt/USB_disc1/rom/kernel1.bin 一定要插U盘，在U盘的rom目录里找到kernel1.bin文件，大小应该是38912KB，改名为vmlinuz.bin，然后找个tftp软件，把电脑IP设置为192.168.1.100，启动tftp服务端。 进入u-boot，因为是死猫，所以不会启动到系统，在命令行下输入： =>downver kernel 此时猫会自己去下载192.168.1.100 tftp服务器里面的vmlinuz.bin。但会提示文件过大，看来用dd备份出来的固件大小有差异。不过没关系。 下载WinHex，打开vmlinuz.bin，跳到文件末尾，把FFFF类似的废物都删掉，保存，文件大小会变成29701KB左右，不用那么精确。 在执行 =>downver kernel 没报错 =>reset 猫终于神奇的活了。

看了你的邮件了，是内核的crc不对，像你说的重刷内核就行。

如果知道超级管理员密码的话直接进后台进网络，网络设置里面，选哪个INTERNET开头的连接，下面会有宽带账号和密码。或者你直接进管理界面备份到配置文件到U盘，然后用我网站上的解密工具解密

文件比较大，我传百度云了：链接：https://pan.baidu.com/s/11UCncto-2ZVAVQcmL7NW6g 提取码：6ywg

你是LOID丢失了吧，打电话给客服帮你恢复一下。

没有丢失，发给你的截图可以看到有的，后来我在其他论坛查了下，同样有提到itms连不上，说是光猫被绑定，需要重新解绑再注册

ITMS没什么用，不连也没啥事

温州的哥们 你都最后又获取到超密吗？想借鉴一下。

你硬件版本和软件版本分别是多少，发一下。

硬件版本 V3.0 软件版本 V2.0.3P1T4 区域码信息 区域码配置正常（地区：浙江地区）

(没邮件提醒吗😂我打开了这个页面才看到，回复晚了

3.0版本的NAS有漏洞，可以直接获得配置文件，这个我考虑做个工具。

这个漏洞指的是... 我之前的软件版本是P1T2，那个时候还能用Fiddler抓包改网页端访问的目录，但是P1T4版本修改了之后再访问直接变成了空目录.

你是换了光猫吗？还是他自己软件更新了？

应该是电信有远程更新的 ，我没动过猫，自己升级了

拿不到固件我暂时也不知道。

好的，谢谢

大佬 reset不能重置密码的地区 有新方法吗

暂时不打算放。

要看版本，同个型号有不同年的版本，20年以后的比较麻烦

你看看有没有你要的型号：https://www.jarvisw.com/?p=1460

你开了telnet了吗？把tr069的配置文件直接删了就好了。

你这个是3.0的

U盘建议用ntfs文件系统去备份，光猫其实这个备份功能有点问题，有时候备份出来的文件会莫名其妙最后面少了一些内容，导致解密失败。

我备份出来的文件名和你一样，telnet那一步不行，显示 Microsoft Telnet> cp /userconfig/cfg/db_user_cfg.xml /mnt/USB_disc1/ 无效指令。需要帮助，请键入 ?/help Microsoft Telnet> ?/help 命令可能是缩写。支持的命令为: c - close 关闭当前连接 d - display 显示操作参数 o - open hostname [port] 连接到主机(默认端口 23)。 q - quit 退出 telnet set - set 设置选项(键入 'set ?' 获得列表) sen - send 将字符串发送到服务器 st - status 打印状态信息 u - unset 解除设置选项(键入 'set ?' 获得列表) ?/h - help 打印帮助信息

拍光猫底部的型号照片上来看看

怎么传图？file:///C:/Users/Jone/Desktop/%E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20210823092339.png

发我邮箱

已发了，查收

暂时没研究过F450有。

应该不是吧，就是明文在配置文件里面

还是加密的 F450 4.0

用户名user，密码6CD2BAB24A6E，登录不了么？

嗯嗯是的，无法登录，，都试过了 user，root，admin，加这个密码，各种组合

不好意思，大佬 原来是输入错误，，刚好好的一个一个的确定性的输入，确实是这个密码，没有加密 谢谢你的回复，非常感谢

你咸鱼上直接买个吧，有破解版的软件

😂咸鱼暂停注册至九月中旬…连主页都进不去。您能帮帮忙吗？

半吊子用IDA去掉验证之后内存不能为read……

不能为read解决了，但还是： “SendSq.gch WebRecv Fail! Enter 192.168.0.1 Telnet FactoryMode Fail!”

你光猫的IP地址确定是192.168.0.1吗？

也不知道是这个方法不适用还是没破解好，不行了，技术有限，只能找到这了https://pastebin.ubuntu.com/p/GJcM5RVJWz/ https://pastebin.ubuntu.com/p/5Tvzngm4pv/

总之求大神帮帮忙Orz

你改好的文件没加密的贴出来看看？

固件版本是多少？

版本号F450_IMS_V3.0.0_JS2009

lz，那个py脚本能发下吗？

会清除loid

文件不完整，U盘格式化成NTFS再试试。

具体什么现象？

文件不完整，U盘格式化成NTFS再试试。

我也遇到同样的情况，付了4块钱试了两次，却无法下载，提示未支付不知什么原因，具体内容已发邮箱联系

看了你的邮件你的文件不完整啊，解不开的，具体情况回复你了。

你是不是ITMS没干掉，电信远端把你恢复设置了吧？

中兴F450 4.0 的使用那个工厂工具返回失败，没有telnet账号密码

二佬，可以留个联系方式嘛

软件版本：F650_IMS_V3.0.0_JS2009 这个弄搞吗？

这个没测试过

拔光纤重置

InitSecLvl 改成3 就是production模式，权限更高，不会运行什么命令都access denied，而且不会24h后自动关闭telnet

链接：https://pan.baidu.com/s/11UCncto-2ZVAVQcmL7NW6g 提取码：6ywg 这个固件怎么刷进去啊，ttl还是telnet还是web ？