天翼网关3.0(中兴F650 4.0)光猫破解方法(无需拆机)
2021-11-6更新:
重磅解决方案:
发布中兴光猫全系开telnet工具破解版,无需lisence,无需绑定电脑,可开中兴所有光猫的telnet,有需求可直接下载使用:https://www.jarvisw.com/?p=1517
2021-4-4更新:
鉴于很小伙伴发邮件给我让我帮忙解密配置文件,考虑到需求量还比较大,为此专门做了一个光猫配置文件在线加解密工具,各种型号会陆续支持,欢迎大家支持一下提提建议:https://www.jarvisw.com/onutools
2021-3-21更新:
有外省小伙伴说重置无效,不会恢复默认密码,为此我又仔细分析了一下光猫的固件,发现在/etc/restore_cfg.json文件里配置了每个省的RESET策略,比如有的省RESET时就会清除LOID和默认配置,有的省只清除配置,不清除LOID,只有满足不清除LOID且清除配置的省份才能使用此方法。满足条件的省份只有重庆和浙江。其他省份我再研究研究,日后有新方法会继续更新。
===============以下原正文============
最近小伙伴家里新装了一条电信宽带,目前浙江电信新装的宽带给的光纤猫已经是最新款的中兴F650了,硬件版本4.0,软件版本V3.0.0P1T1,如下图:


经过一些资料查找,普遍显示这个光纤猫是21年新出的款,目前网上还没找到现成的破解资源,之前切换地区的版本入口也已经被删,移动存储U盘越权读文件的漏洞也已经被修复,而且TTL console也被关闭了,当进入系统时就没有输出了。虽然万能的淘宝已经有远程破解了,无奈卖家要收100元,要知道这个光猫本身才120啊。本着探究精神研究了一下,发现了不少有意思的东西,为了造福大家,我把破解方法先放出来,供大家参考。
第一步:拔掉光纤(因为当ONU设备注册上网络的时候,电信远端会通过tr069协议管理每个端设备,如果不拔掉一旦连上网超管密码就会被修改),按RESET(最新的4.0版本光猫重置不会丢失拨号,LOID、VOIP和TV的配置,不用担心,只是会把默认telecomadmin的密码恢复为出厂值而已),当看到所有灯亮起即表示重置成功。这时候telecomadmin的密码就会被恢复成默认密码nE7jA%5m。
备注:网上已经有很多人用这种方法进去改桥接以及修改配置了,但是主要麻烦的点是每次插上光纤注册网络之后,密码就会被改掉,下次还想去改其他配置又得重新RESET,有点麻烦,所以本文接下来给出的就是怎样持久化获得telecomadmin的权限,有需求的继续看即可。
第二步:找一个U盘(最好格成NTFS文件系统,其他的比如exFAT会识别不出来),插在光猫边上的USB口上,然后用默认的telecomadmin密码登录后台,点击管理->设备管理,如下图,这里有一个备份配置文件到U盘的功能,如果U盘正常识别的话在USB分区选择里面会出现/USB_disc1这种选项,如果是空的说明U盘没识别出来,这一步我们点击“备份配置”,就会在U盘根目录下生成一个e8_Config_Backup文件夹,里面会有一个cfg文件。不过是加密的。如下图。

第三步:解密/修改配置文件打开telnet,这一步是关键,因为这一代的加密和之前的光猫都不同,目前网上还无法找到这一款光猫的配置文件加解密工具,需要自己进行修改,不过我在github上找到一个项目zte-config-utility,虽然并不能解密我这一款光猫的配置文件,但是大部分代码都还可以复用,经过对光猫固件的逆向工程,发现只需要修改小部分即可,为了防止奸商窃取代码拿去淘宝卖,具体细节我这里先不放出代码,如果有需要的我可以友情支持一下,解密之后在配置文件里找到下面这一段:

这里就是telnet的默认配置了,我们直接把Lan_Enable改成1,InitSecLvl改成3,然后保存,重新加密之后,放回U盘根目录里的e8_Config_Backup文件夹(注意不要改原来cfg的文件名,保持和之前备份的文件名完全一致)
第四步:恢复配置文件,插上U盘,在后台找到刚才备份的地方,在快速回复后面的勾打上,然后点页面最底下的重启按钮即可。

重启完成之后,光猫的telnet就被永久打开了,然后我们插上光纤,正常注册网络,这时候telecomadmin的密码就会被电信修改为新密码。
第五步:获取电信修改后的新密码,以方便以后登录后台操作。因为之前我们开了telnet,所以这时候可以直接telnet上去就操作。但是问题是,以前telnet上去通过常规方法是发送命令sendcmd 1 DB p DevAuthInfo来获取登录密码,但是这种方法早就不行了,获取到的内容里面用户名密码全是”*******”。这之后应该这样操作,插上U盘之后执行命令cp /userconfig/cfg/db_user_cfg.xml /mnt/USB_disc1/,然后通过和第三步同样的方法解密db_user_cfg.xml之后,就可以获得电信修改过之后的telecomadmin密码,方便以后登录,如下图:

到此,这款光猫就被完全破解了。
后记
后来我在网上发现了一个文章http://www.chinadsl.net/thread-167247-1-1.html,大概意思就是就是中兴原厂有一个使能telnet的工具叫做factorymode.exe,就是可以临时开启telnet,只要是中兴的光猫都可以开启,很多人说淘宝的远程破解都是利用这个工具做的,网上找了一圈很难下到,问了很多人要么就是要卖我2000元,要么就是不给。对此我对固件再做了一些逆向工程,发现中兴真的留了这样一个相当于后门的东西,经过仔细逆向协议之后,终于用python自己写了一个程序实现了类似的功能:

执行之后就会返回:FactoryModeAuth.gch?user=Jpm5OUE2&pass=5F9eJtrA,这里telnet就会打开并且把用户名/密码设成随机值返回回来。
不过这个就不太好用,只要重启光猫telnet就又要重新开,还是前面我这种直接改配置文件的方法比较持久一点,由于这个方法影响中兴全系列光猫,暂时不打算放出细节。奸商就不要找我了,对于普通用户来说,前面公布的方法已经足够使用。
ltk
重置之后用telecomadmin和nE7jA%5m还是进不去 提示密码错误
Jarvis
重置之前拔光纤了吗?
ltk
拔了 按步骤操作的
Jarvis
你是哪个地区的?
TAO
同样错误。。F450 4.0
ltk
湖北
Jarvis
不应该啊,我看所有地区恢复默认密码都是这个,你要不光猫正反面拍个照发我邮箱看看?
ltk
一发邮件了
Jarvis
是同款,不应该啊。浙江这表好多人重置之后都可以的。可能不同地区的默认密码不同,浙江地区都是可以的,其他地区的我再看看。
Tao
F450 4.0 生产日期2021年1月,拔光纤按RESET键等灯闪后如果放开,不回恢复,连我设的useradmin密码及无线密码都没有还原。如果按RESET键等灯闪4次后不再闪全亮时放开,那么就恢复出厂了,Loid及配置都没有了。此时用户密码为telecomadmin和nE7jA%5m,可以通过U盘导出配置文件,但是从网上找的ztecfg.py解不了此配置文件、报错。它好像对3.0版的配置文件有效,对4.0版的不行。
Jarvis
破案了,进一步分析了一下,我发现各地的Reset策略是不一样的,浙江地区的reset会清除密码,但是像湖北,策略就不一样,按RESET按键不会清除密码,我贴出来大家可以对比一下:
湖北的:
"Hubei": { "RegionCode": "211", "KeyRestoreLocal": { "IsRmTr069EnvFile": "0", "IsSameAsRemote": "0", "IsDelLoid": "0", "IsClearAllCfg": "0" }, "KeyRestoreRemote": { "IsRmTr069EnvFile": "1", "IsDelLoid": "0", "IsClearAllCfg": "0" }, "MediaRestoreLocal": { "IsRmTr069EnvFile": "0", "IsSameAsRemote": "0", "IsDelLoid": "0", "IsClearAllCfg": "0" }, "MediaRestoreRemote": { "IsRmTr069EnvFile": "1", "IsDelLoid": "0", "IsClearAllCfg": "0" }
浙江的:
"Zhejiang": { "RegionCode": "214", "KeyRestoreLocal": { "IsRmTr069EnvFile": "1", "IsSameAsRemote": "0", "IsDelLoid": "0", "IsClearAllCfg": "1", "IsDelAuditKjwlPlugin": "1" }, "KeyRestoreRemote": { "IsRmTr069EnvFile": "1", "IsDelLoid": "0", "IsClearAllCfg": "1", "IsDelAuditKjwlPlugin": "1" }, "MediaRestoreLocal": { "IsRmTr069EnvFile": "1", "IsSameAsRemote": "0", "IsDelLoid": "0", "IsClearAllCfg": "1", "IsDelAuditKjwlPlugin": "1" }, "MediaRestoreRemote": { "IsRmTr069EnvFile": "1", "IsDelLoid": "0", "IsClearAllCfg": "1", "IsDelAuditKjwlPlugin": "1" } },
boyoio
我也是湖北的,尝试多重reset按法,都不能恢复出厂,唉,卡在了第一步。
boyoio
最新:加了8080,成功了,即使湖北的不能恢复出厂超密,也能顺利打开并拿到临时telnet密码,进去先更改超密,然后后一切自如。湖北电信F450,P1T4版本
c
cfg文件怎么解密啊,小白不会啊
Jarvis
这款不知道网上有没有现成的加解密工具,我是自己写的,你要不找找?找到了可以告诉我。
elo
大神,可以帮忙改个配置吗(开telnet),已发你邮箱。
Jarvis
可以,发邮件给我。
elo
已发jarvis@jarvisw.com邮箱
Jarvis
已经回复你了
elo
大神,再帮忙解下db_user_cfg.xml,谢谢了
elo
成功了,博主真乃神人
lee
山东表示很淦, 想进去绑定ip和mac呢, 网上找了一大圈也没找到
喵星人不吃鱼
获取密码那一段,应该不用这么麻烦,有telnet可以直接把管理员用户的密码改掉或者把普通用户直接提权,sendcmd 1 DB set DevAuthInfo 0 Pass admintelecom类似这种把管理员密码直接修改成adminteleadmin就好用了
Jarvis
你修改了电信过段时间又会重新给你改回去的,你每次重改还是挺麻烦的。
喵星人不吃鱼
改掉之后可以进去删除tr069就行了,删除按钮灰色但有个古老的bug就是F12去掉disable
Jarvis
删了tr069可能会影响后续业务下发,最好别删。
wrlkgeg
大神帮忙帮忙开下telnet 已发jarvis@jarvisw.com邮箱
Jarvis
已经回你了
wrlgeg
谢谢!我用telnet 把useradmin和密码输入却显示access denied 应该是无权限,是不是我在前面再次重置有关系.
Jarvis
你打开我发给你那个xml,搜索telnet,然后telnet的登录用户名是user,然后密码你里面自己看下是多少,ZTEG开头的那个
wrlgeg
谢谢!刚按你的方式已经下载了db_user_cfg,再帮忙解下,感恩!!
小罗
大神,文章末尾的Telnet工具可以分享吗
Jarvis
暂时不打算放出,影响太大了。
zcv
你好,能不能用文末的zte_opentelnet.py帮我远程开启telnet,远程完删除文件就行,谢谢
Jarvis
你什么型号啊?
zcv
中兴f650 4.0
zcv
可以的话加我微信hai-zxc 谢谢
Jarvis
在做工具了,过段时间放出
zcv
大神,??
jo
坐标湖北,坐等大佬更新?
LuYi
大神,湖南的Reset策略是什么?能清理密码不改配置吗?
Jarvis
不能清理密码
孙
您好,山东的能用此方法破解不?
Jarvis
暂时不能,过段时间会有新方法放出。
zcv
你好,闲鱼有临时开telnet软件,应该能讲价到150元,有没有兴趣一块买?
Jarvis
那个是绑定机器的,怎么一块买
zcv
他说是修改版,可以去除限制
Jarvis
那你可以买个试试。
zcv
?,好贵,不舍的,能合伙买就好了
ZZZ
F650 3.0解密后cfg没有InitSecLvl怎么继续呢
Jarvis
那就不用管
ZZZ
大神 使用文中的网页加解密改配置后可以TELNET登录成功了 但是执行命令 提示 /bin/sh: access denied应该怎么办呢
Jarvis
InitSecLvl要改成3,不然就会这样
ZZZ
啊,可是这一块没有InitSecLvl这一项啊
Jarvis
你软件版本号是多少?2.0.3P1T2吗?
tianmen
同样的问题太,版本2.0.3P1T4,cfg文件里面没有InitSecLvl,但是telnet 登录后,cp 命令没有权限,真是无语啊
Jarvis
这个暂时没研究过。
mmm
同出现这种问题,加了一行InitSecLvl也没用,已经花了8块了
Jeff哥
尴尬,我的也没有InitSecLvl
ZZZ
是山东的,重置虽然会清除LOID,但是已经拿到了LOID就可以用本文方法吧?
Jarvis
还有PPPOE拨号账号和密码。
Rory
是的,最新版本 全千兆。
Jarvis
我记得F650 4.0默认是开了UPNP的
rory
捅一下也清除loid ??
Jarvis
看省份,有的省清不掉的。
11
求问现在其他省市的有破解方法没
Jarvis
在路上了,要等一段时间
奶瓶小猪
新光猫点击快速装修入口只有设备注册,没有电信登录页面?怎么搞?
奶瓶小猪
点击快速装修入口只有设备注册,没有登录页面,怎么改?
Jarvis
随便填个LOID点注册,过一段时间直接关掉就行,然后192.168.1.1就可以登了
Rory
你好,山东地区只想打开upnp 功能。可以通过拔了光纤,重置光猫进入设置不?
Jarvis
UPNP功能好像默认就是开的
Rory
关闭的啊…以前是天邑的光猫。要进去开启。刚换的F650 。山东版本拔光纤后reset ,影响使用不?
Jarvis
你现在就是F650 哪个版本,4.0吗?
rory
闲鱼5块钱买到超级密码了。upnp 是没打开的。
Jarvis
你买的是可以直接告诉你的那种吗?还是要远程到你机子上破解?
rory
随便提供任何一个信息。宽带账号,loid, 光猫信息。一秒钟给你密码那种。估计电信内部的…要不然就是密码生成有规律……
Jarvis
应该是内部的,内部查比较容易。
稻草人
武汉地区的 淘宝10元直接密码 估计是电信后台运维的
muyu
你好,能问一下咸鱼那个商家吗,我也搞一下。
Jarvis
看这里就行了。https://www.jarvisw.com/?p=1517
zxb888
浙江电信的中兴ZXHN F650 (硬件3.0,软件V2.0.3P1T4),用您的办法能破解吗?人在外地,先问一下。
Jarvis
这个比4.0容易多了
vic
telnet 用户名 密码是什么啊,大佬
Jarvis
解密以后的配置文件里面不是有吗?
vic
f650 4.0 telnet 用户名 密码是什么啊?大佬
悟休
似乎4.0对内部文件做了只读保护,/目录下都只读,虽然可以mount -o remount -rw /,增加写权限,但我发现只要新增任何的文件或目录名,机器重启以后就挂了,现象就是只亮电源和插网线的等,长亮,reset键没有任何作用,好像变砖了,不知道博主有没有碰到过这种情况,有没有救活的办法?
Jarvis
进uboot救砖
悟休
这款的ttl接口我都不知道在哪?博主有没有相关的图?f450 4.0
Jarvis
参考一下:最右边那个是GND,其他几个孔你自己试试就可以。要自己焊针。ttl可以进uboot
悟休
已经摸清楚f450 v4的ttl接口,现在进了uboot,救砖思路不清楚,想跟博主求教,有思路或者有什么文章可以参考吗?
悟休
配合你的图,从左向右,第一个孔不用管,第二个是RXD,第三个是TXD ,第四个是GND。
悟休
找到方法了。载入0uImage文件, setenv bootargs console=$(console) root=/dev/mtdblock12 ro rootfstype=jffs2 mem=$(memsize); fsload 0uImage; 强制启动 bootm 0x42000000" 谢谢博主
悟休
再次请教楼主,我目前每次启动都需要uboot手动启动,应该是之前修改了文件导致crc校验失败。您知道如何替换crc的值吗?或者有什么办法可以自动绕过crc校验?我看了一下,有人分析这个问题,可以替换crc。但照着做发现依然呢有问题。http://www.chinadsl.net/forum.php?mod=viewthread&tid=168275&extra=&page=1。我在uboot下操作md的时候,总是卡死或者制定内存地址但每次都从头输出,停滞在这里了。
Jarvis
建议你重刷固件解决
悟休
楼主好,等候您多时,我现在也在尝试刷固件,我又买了只新猫,想提取固件: / # cat /proc/mtd dev: size erasesize name mtd0: 10000000 00020000 "whole flash" mtd1: 00200000 00020000 "u-boot" mtd2: 00200000 00020000 "others" mtd3: 00200000 00020000 "parameter tags" mtd4: 00200000 00020000 "wlan" mtd5: 00800000 00020000 "usercfg" mtd6: 01000000 00020000 "framework" mtd7: 01000000 00020000 "framework1" mtd8: 00600000 00020000 "dbus" mtd9: 02600000 00020000 "kernel1" mtd10: 02600000 00020000 "kernel2" mtd11: 07d00000 00020000 "plugin_data" mtd12: 025e0000 00020000 "rootfs" / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd2 of=/mnt/USB_disc1/rom/others.bin 4096+0 records in 4096+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd3 of=/mnt/USB_disc1/rom/parameter_tags.bin 4096+0 records in 4096+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd4 of=/mnt/USB_disc1/rom/wlan.bin 4096+0 records in 4096+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd5 of=/mnt/USB_disc1/rom/usercfg.bin 16384+0 records in 16384+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd6 of=/mnt/USB_disc1/rom/framework.bin 32768+0 records in 32768+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd7 of=/mnt/USB_disc1/rom/framework1.bin 32768+0 records in 32768+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd8 of=/mnt/USB_disc1/rom/dbus.bin 12288+0 records in 12288+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd9 of=/mnt/USB_disc1/rom/kernel1.bin 77824+0 records in 77824+0 records out / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd10 of=/mnt/USB_disc1/rom/kernel2.bin 接下来,我不知道怎么能把这些bin变成可刷回去的固件,请教您了!!
悟休
格式乱,不好编辑,给您添麻烦了,总之就是执行了: / # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd1 of=/mnt/USB_disc1/rom/u-boot.bin 这样的命令, 保存了一堆bin文件,现在不知道怎么刷回去。
Jarvis
你把旧猫的启动日志发我邮箱看看,哪里有问题导致起不来
悟休
给您发邮件了。
悟休
主要是不知道哪里搞来f460 v4的固件,您如果有发一份给我,我刷回来应该就ok了。或者怎么从活猫里面提取?我手里还有一个活的
悟休
感谢博主帮忙,猫已救活,方法分享如下: 找台新猫,按博主方式开启telnet,进入以后。 # /opt/upt/framework/saf/rootfs/bin/busybox dd if=/dev/mtd9 of=/mnt/USB_disc1/rom/kernel1.bin 一定要插U盘,在U盘的rom目录里找到kernel1.bin文件,大小应该是38912KB,改名为vmlinuz.bin,然后找个tftp软件,把电脑IP设置为192.168.1.100,启动tftp服务端。 进入u-boot,因为是死猫,所以不会启动到系统,在命令行下输入: =>downver kernel 此时猫会自己去下载192.168.1.100 tftp服务器里面的vmlinuz.bin。但会提示文件过大,看来用dd备份出来的固件大小有差异。不过没关系。 下载WinHex,打开vmlinuz.bin,跳到文件末尾,把FFFF类似的废物都删掉,保存,文件大小会变成29701KB左右,不用那么精确。 在执行 =>downver kernel 没报错 =>reset 猫终于神奇的活了。
Jarvis
看了你的邮件了,是内核的crc不对,像你说的重刷内核就行。
chan
老哥 您好 请问一下我的是F650 V2.0.0P1T3GD版本 怎么获取配置文件查看宽带密码? 超密码都是默认的可以进入设置界面
Jarvis
如果知道超级管理员密码的话直接进后台进网络,网络设置里面,选哪个INTERNET开头的连接,下面会有宽带账号和密码。或者你直接进管理界面备份到配置文件到U盘,然后用我网站上的解密工具解密
D11
坐标浙江宁波,已破解成功,但第一步reset后宽带识别码丢失了,光猫无法注册,打10000联系安装师傅要的,后面步骤都很顺利,感谢大神
gx1000
前辈你好, 能分享个f650 4.0的固件看看吗?想学习一波~~~邮箱:skywanggg@gmail.com
Jarvis
文件比较大,我传百度云了:链接:https://pan.baidu.com/s/11UCncto-2ZVAVQcmL7NW6g 提取码:6ywg
7s7x
浙江温州电信,能进行登陆telnet,但是插上光纤后,无法注册,itms无法连接,配置无法下发,只能用useradmin账号恢复出厂设置,这样一切回到原点
Jarvis
你是LOID丢失了吧,打电话给客服帮你恢复一下。
7s7x
没有丢失,发给你的截图可以看到有的,后来我在其他论坛查了下,同样有提到itms连不上,说是光猫被绑定,需要重新解绑再注册
Jarvis
ITMS没什么用,不连也没啥事
白
温州的哥们 你都最后又获取到超密吗?想借鉴一下。
邮文
博主你好,我光猫是中兴F650的3.0版本,曾经修改过telecomadmin密码,登录上后使用以上方法的话并没有USB备份配置的选项,并且地区切换这些东西都已经关闭了。我曾经解锁过Telnet,现在能连上,但是用户名和密码已经被更改了,无法登录。想请教一下要咋弄
Jarvis
你硬件版本和软件版本分别是多少,发一下。
邮文
硬件版本 V3.0 软件版本 V2.0.3P1T4 区域码信息 区域码配置正常(地区:浙江地区)
邮文
(没邮件提醒吗?我打开了这个页面才看到,回复晚了
Jarvis
3.0版本的NAS有漏洞,可以直接获得配置文件,这个我考虑做个工具。
邮文
这个漏洞指的是... 我之前的软件版本是P1T2,那个时候还能用Fiddler抓包改网页端访问的目录,但是P1T4版本修改了之后再访问直接变成了空目录.
Jarvis
你是换了光猫吗?还是他自己软件更新了?
邮文
应该是电信有远程更新的 ,我没动过猫,自己升级了
Jarvis
拿不到固件我暂时也不知道。
邮文
好的,谢谢
帆帆
江苏的,有办法破解吗?
萝卜
不能充值密码得地区 有新方法吗
萝卜
大佬 reset不能重置密码的地区 有新方法吗
Jarvis
暂时不打算放。
xkx
请问大神,中兴 F652 该怎么破?另:F652跟F650比,哪个新?我的那个F652贴着的上面显示2016年生产。
Jarvis
要看版本,同个型号有不同年的版本,20年以后的比较麻烦
兔子
@独饮寒江水 能否帮解密.cfg文件?
Jarvis
你看看有没有你要的型号:https://www.jarvisw.com/?p=1460
KeneKo
重置用默认超密进入后,可以改桥接 但发现依然无法关闭周期上报,TR069的设置就更不能改了,因为用元素审查去掉灰色按钮修改保存后只要刷新 就会还原变成原本的设置,请问这有什么解决办法吗?
Jarvis
你开了telnet了吗?把tr069的配置文件直接删了就好了。
Fasto
家里同款中兴F650 版本号是V2.0的,去年一冲动花了200升了300M,结果发现这个光猫还没以前那个老的好用,就一个千兆端口,自带的无线功能确实弱,而且好像还挺费电,想换桥接模式。当时也想破解来着,无奈当初教程基本需拆机,而且版本号基本是V3.0的,小白一枚虽然爱折腾但动手能力弱。无意间翻到大神的帖子,瞬间感觉找到组织了。大神如果看到评论,求指路。我自己先琢磨着试试,如果失败了,就只能麻烦运维重新设置了。
Fasto
F650 V2.0.3P1T4 是要选哪个型号解密的呢
Jarvis
你这个是3.0的
吕豆豆
为什么我型号是ZXHN F650 4.0 文件名是ctce8_ZXHN_F650(GPON_ONU) 你好我获取了配置以后解密失败。操作失败!请检查文件或型号是否选择正确。 手抽点了加密。噗,主要我还付款了。
Jarvis
U盘建议用ntfs文件系统去备份,光猫其实这个备份功能有点问题,有时候备份出来的文件会莫名其妙最后面少了一些内容,导致解密失败。
江
我备份出来的文件名和你一样,telnet那一步不行,显示 Microsoft Telnet> cp /userconfig/cfg/db_user_cfg.xml /mnt/USB_disc1/ 无效指令。需要帮助,请键入 ?/help Microsoft Telnet> ?/help 命令可能是缩写。支持的命令为: c - close 关闭当前连接 d - display 显示操作参数 o - open hostname [port] 连接到主机(默认端口 23)。 q - quit 退出 telnet set - set 设置选项(键入 'set ?' 获得列表) sen - send 将字符串发送到服务器 st - status 打印状态信息 u - unset 解除设置选项(键入 'set ?' 获得列表) ?/h - help 打印帮助信息
萨迪
这个版本的怎么搞?F650_IMS_V3.0.0_JS2009
Jarvis
拍光猫底部的型号照片上来看看
萨迪
怎么传图?file:///C:/Users/Jone/Desktop/%E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20210823092339.png
Jarvis
发我邮箱
萨迪
已发了,查收
风。。。
上海地区,中兴F650A 4.0版,用楼主的方法,无法开启telnet,还有什么方法可以破吗?
Jarvis
暂时没研究过F450有。
lovehtj
您好,已经解密了,但telnet的密码好像还是加密的
Jarvis
应该不是吧,就是明文在配置文件里面
lovehtj
还是加密的 F450 4.0
陈
大佬,我在网上找到个中兴使能工具但是华为的图标,有点不敢用了,能不能帮忙开下中兴F450的telnet,网上不少方法都没用了,就是想用超管密码进去改下NAT,开下upnp,这边维修的不给,我是湖北地区,软件版本是V2.0.3P1T4,重置没一点用
lovehtj
我发给你了 好像是评论过滤了 TS_UPwd为6CD2BAB24A6E,TS_UName为user
Jarvis
用户名user,密码6CD2BAB24A6E,登录不了么?
lovehtj
嗯嗯是的,无法登录,,都试过了 user,root,admin,加这个密码,各种组合
lovehtj
不好意思,大佬 原来是输入错误,,刚好好的一个一个的确定性的输入,确实是这个密码,没有加密 谢谢你的回复,非常感谢
马凌曙
大神,山东F650,2.0.3P1T2,能帮忙开Telnet吗?另外我找到了那个工具,但是要工厂的License,个人不太会逆向,软件已经发到您邮箱里,希望对您有帮助。(逆向后从里面找到一个密码nE%jA@5b,和nE7jA%5m一看就是一个系列的,但是没登录成功,再挖挖说不定还有什么有意思的)
Jarvis
你咸鱼上直接买个吧,有破解版的软件
马凌曙
?咸鱼暂停注册至九月中旬…连主页都进不去。您能帮帮忙吗?
马凌曙
半吊子用IDA去掉验证之后内存不能为read……
马凌曙
不能为read解决了,但还是: “SendSq.gch WebRecv Fail! Enter 192.168.0.1 Telnet FactoryMode Fail!”
Jarvis
你光猫的IP地址确定是192.168.0.1吗?
马凌曙
也不知道是这个方法不适用还是没破解好,不行了,技术有限,只能找到这了https://pastebin.ubuntu.com/p/GJcM5RVJWz/ https://pastebin.ubuntu.com/p/5Tvzngm4pv/
马凌曙
总之求大神帮帮忙Orz
卡梅拉
大神,光猫F650 硬件4.0 浙江版,V3.0.0P1T1。我在你发的网址付费进行配置文件解密,修改后然后加密,但是恢复配置后,telnet,还是不能用啊
Jarvis
你改好的文件没加密的贴出来看看?
帆帆
找了一圈,看来全网的希望就在这里了:)
三水
大佬NB,湖南电信f650 v2成功解密配置文件
池塘
福建配置不会重置,sad,其他方法能试的都试了
gjc
请教下楼主,F450 V4打开telnet,有办法吗?
Jarvis
固件版本是多少?
gjc
版本号F450_IMS_V3.0.0_JS2009
gjc
lz,那个py脚本能发下吗?
张大帅
河南电信的中兴ZXHN F650 A(硬件3.0,软件V2.0.3P1T2),用您的办法能破解吗?会不会清除LOID?因为宽带账号没给我,我怕上不了网,我尝试用软件劫持改根目录复制文件,但看不到配置文件,telnet也是连接不上
Jarvis
会清除loid
小先生
F650 4.0因为itms注册失败能拔号但是网站全都被弹出要求注册LOID的页面,用了楼主的在线解密然后修改以下两项把“99”改成“0”、第二个把“99”改成“1”然后在用楼主的在线加密打包,复制到U盘还原系统从启后,就不会上任意网站都被弹出要求注册LOID的页面了。解密花2元,加密又花2元,共计4元就解决问题了!
丘少
me too
丘少
还有一个问题:就是ONU上创建桥方式的WAN连接,接在ONU下的电话都是获取到IP仍然是ONU DHCP服务器分配的。
caocao
操作失败!请检查文件或型号是否选择正确。 ctce8_ZXHN_F650A(GPON_ONU).cfg
Jarvis
文件不完整,U盘格式化成NTFS再试试。
孙
加密cfg文件后,第四步恢复不了配置,是什么原因
Jarvis
具体什么现象?
小灰灰
你这个工具,选择CFG文件提交后,怎么显示:操作失败!请检查文件或型号是否选择正确。
Jarvis
文件不完整,U盘格式化成NTFS再试试。
爱维c
我也遇到同样的情况,付了4块钱试了两次,却无法下载,提示未支付不知什么原因,具体内容已发邮箱联系
Jarvis
看了你的邮件你的文件不完整啊,解不开的,具体情况回复你了。
laows2004
河北唐山这边的电信宽带没有修改超级密码,用ne7就能直接进入,前两天还开了公网ip
joduskame
桥接浙江杭州电信直接就可以改啊,我安装时候给他说了改桥接,师傅直接把账号密码贴光猫上面了,而且直接就是公网ip
jay
大佬,设置完桥接会被恢复回去,怎么解呢
Jarvis
你是不是ITMS没干掉,电信远端把你恢复设置了吧?
路过
中兴F450 4.0 的使用那个工厂工具返回失败,没有telnet账号密码
johnhowe
大神啊,我用你的方法,临时TELNET开不了,我就想知道超级密码,然后进去把路由模式改成桥接模式。我的电信设备是 设备类型 GPON天翼网关(4口单频) 产品型号 ZXHN F650(GPON ONU) 产品序列号 A0CFF5-40850A0CFF55CFF48 软件版本号 V3.0.0P1T1 MAC A0:CF:F5:5C:FF:48
O泡
大神,我上咸鱼买了个10G EPON猫回来用,注册一直失败,然后找朋友的同款猫来对比了一下发现他的软件版本是V2.0.0P1T1,我的是V2.0.0P1T2所以一直不行,想请教一下怎么修改。
毛木木
我接了ttl,重启就完蛋
毛木木
我接了ttl重启就完蛋了
TK
这个型号怎么完全恢复出厂设置,我想连LOID都能清除
EZ
大神,有人放出了TelnetONU,可以根据这个进行破解吗
idd
折腾了老半天 总算弄好了 F450 4.0 感谢大佬分享
lhw
二佬,可以留个联系方式嘛
地方
软件版本:F650_IMS_V3.0.0_JS2009 这个弄搞吗?
Jarvis
这个没测试过
liansishen
大佬,我是新装宽带,光猫是中兴F610,没有USB口,怎么导出文件啊?
Seth
有有没有F450固件
LONH
大佬,您在百度云的F650 v4.0的固件不知道怎么解压。binwalk解压之后,挂载mount jffs2文件系统后同步后的文件系统,bin文件夹是打不开的。请问怎么解压那个百度云里面的bin文件
子鹰
河南电信表示重置几次了无效。。设置和信号都没丢。。该咋样还咋样。我也是醉了
小贝贝
拔光纤重置
的
中心吉比特f663n3v C:\Users\Administrator>factorymode_crack.exe -l xxx open -i 192.168.1.1 version:3.1 CheckLoginAuth.gch WebRecv Fail! Enter 192.168.1.1 Telnet FactoryMode Fail! 开启失败
啊
C:\Users\Administrator>factorymode_crack.exe -l xxx open -i 192.168.1.1 version:3.1 CheckLoginAuth.gch WebRecv Fail! Enter 192.168.1.1 Telnet FactoryMode Fail! 两种命令都用了,都是开启失败
LP
发送电子邮件自 lpxxxxxx@yahoo.com
LP
发送电子邮件自
忧伤郁闷
大神,请问下ZTE F7010C的光猫能用这个方法破解吗
mlipty
大神,想问问F650 GPON光猫可不可以改成EPON了~
nathan6498
博主,你好,不小心买了个外地的二手中兴2021款F450A4.0(已注册使用过),现请教: (1)是不是打开telnet和改区域设置,外地网关就可以成功(再)注册的了? (2)打开telnet时,“InitSecLvl改成3”是必须的吗?这个设置的作用是什么? (3)能不能把打开telnet和改区域设置一起进行解密和加密?改区域设置是改哪里的呢? (4)备份了F450A的配置,文件全名是“ctce8_ZXHN_F450A(EPON_ONU).cfg”,后缀不是“.xml”,这是正常的吗?是不是能一样的解密和加密的呢? 麻烦你有空的时候给予指教,静候你的佳音。先谢谢啦
dou
InitSecLvl 改成3 就是production模式,权限更高,不会运行什么命令都access denied,而且不会24h后自动关闭telnet
nathan6498
先用的是FAT32格式的U盘,今天换了一个NTFS格式的U盘,备份出来的配置文件名后缀还是.cfg。文件全名仍是ctce8_ZXHN_F450A(EPON_ONU).cfg。不知道为什么后缀不是.xml,不是.xml就不能用你的工具完成解密的哟。大佬,给想个解决办法吧。
nathan6498
是不是我搞错了?到底是“.cfg”类型的文件是加密了的,还是“.xml”类型的文件是加密了的?
LxnChan
您好,我这有台F673AV2,不知道能不能破解。看您解密工具列表里面有F673AV9,请问v2和v9会有很大的区别吗? 具体信息如下: 设备型号 ZXHN F673AV2 硬件版本号 V2.0 软件版本号 V2.2.0P1T9 谢谢。
nathan6498
看来大佬转移了阵地,很久没有光顾这里了。 后来,我搞明白了。使用浏览器中的界面“管理->设备管理->备份配置”得到的是以.cfg为后缀的加密了的配置文件;而在telnet下,使用“cp”命令得到的是以.xml为后缀的加密了的配置文件。二个文件都是加密了的描述光猫配置的。之前第一次接触,什么都不懂的。
CC
设备中兴F650 4.0,重庆电信,按照文章步骤操作没问题。唯一的问题就是恢复配置文件后,itms无法注册,需要找师傅重新下发配置文件。文章中没有写清楚telnet的方法,需要查找解密后的配置文件,里面有一个user的账号和ZTEG开头密码,登陆后输入cp /userconfig/cfg/db_user_cfg.xml /mnt/USB_disc1/命令就可以在U盘中找到配置文件,解密后就可以查看超级用户的密码了
柠檬菌
拿到telnet有什么方法能把loid也清空吗?我湖南的,f450v3以前都可以通过returntofactory清空光猫现在不行了
codino
大佬,浙江中兴F610的可以用这个方法吗
rsdrc
目前卡uboot了,按住reset在ttl上提示需要upgrade.bin文件, 下面评论提供的f650v4.bin文件咋通过ttl刷入光猫鸭
rsdrc
链接:https://pan.baidu.com/s/11UCncto-2ZVAVQcmL7NW6g 提取码:6ywg 这个固件怎么刷进去啊,ttl还是telnet还是web ?
1
telnet的密码就登不上去了
xxh
可以添加对中兴F7600T 的支持吗,配置文件已经发白你邮箱了。
1123
请问大佬,/ # cp /userconfig/cfg/db_user_cfg.xml /mnt/USB_disc1/ /bin/sh: Access Denied. 这是因为权限不够吗