前言

没想到本博客第一篇稍微带点技术性文章竟然是这个……

这件事总的来说也是一年多以前干的了,自从开了博客后一直都想找个时间属文以记之。近两天闲来顺便看了看发现对方还没有采取任何措施,于是就再现了一遍当时的破解过程。

起因

早在2015 年末的某一天,我们家所在的那栋楼突然因为一些乱七八糟的原因停电了。我爸无聊地拿起手机,却突然发现自己莫名奇妙地连上了别人家的 Wi-Fi,于是他就拿来手机问我是什么情况。然而,当我看到他主屏上的 “WiFi 万能钥匙” 时便明白了一切,立即要求他把此软件删除并修改了自家的 WiFi 密码。事后,我们又顺便记下了对方的 WiFi 密码”以便后用”。

在连接上了对方的WiFi 后,我所做的第一件事情就是去网关看看啦。然而当时我还很 naive,登录了一下192.168.1.1发现用户名和密码不是默认值就闪了,根本就没意识到我登录的其实是光猫(因为当时我们家还没接光纤所以我当然没想到那是光猫啦)。

其登录界面长这样:

“光猫登录网页”

于是直到2016 年 2 月的某一天,我爸因为某种原因受够了联通的辣鸡宽带,一挥手入了电信百兆光纤。从那时起我才知道光猫这种东西。而电信送的光猫就是个坑货,默认代替路由器拨号(相当于就是强制开启路由功能),而且还特么限制用户连接数。由于本人强迫症发作,不希望光猫和路由器分占两段 IP,于是当及上网搜索如何使光猫以桥接方式运行。

经搜索发现电信告诉我们的所谓管理员账户(admin)其实只是一个低权限账户,而如果要进行桥接设置则需要超级管理员账户(telecomadmin)才行。电信给我们送的光猫是华为的光猫,默认不开启telnet,其破解过程相对要复杂许多,这里也就不多说了。在破解完自家的光猫以后突然想起几个月前的那个别人家的网络貌似用的也是电信的光猫。登上去一看原来是中兴的一款相对老一些的光猫。试了试 telnet 竟然默认开启,于是以下的过程拉开帷幕……

经过

首先我从网络上查得中兴光猫的默认telnet 用户名和密码 root:Zte521,接着便尝试登录。

然后竟然就登录进去了……

“telnet登录”

好吧,既然登都登进来了不看看数据库怎么能行呢?

sendcmd1 DB all
“列举所有数据表”

经过一番瞎摸之后,发现用户账户登录信息存储于UserInfo 表中:

sendcmd1 DB p UserInfo
“获取登录信息”

在获取了登录信息后感觉意犹未尽,打算再翻翻跟WAN 相关的数据库,于是无意中翻到了宽带拨号的账户和密码:

sendcmd1 DB p WANCPPP
“获取拨号信息”

啊哈!这下我连该户人家的宽带账号都知道了,不知道在我这栋楼里能不能拨起……

在获取了足够的信息后,打算再到光猫的网页管理里面去玩玩。试了试刚刚获取的超级管理员账户,意料之中地登进去了。

“管理网页主页”

顺便打算去DHCP 设置里看看在线用户有哪些……

“DHCP设置”

发现是一个路由器一样的东西,这下总算是摸清楚该户人家的网路架构了:

光猫完成PPPoe 拨号任务并与副路由器处于 192.168.1.x IP 段。同时,副路由器中设置动态或静态 IP 并与剩余的联网设备处于,等等我看下……

“ipconfig”

对,副路由器与剩下的联网设备处于192.168.0.x IP 段,这也就是两级网络的配置方式。于是我打算再到副路由器的管理页面里去看看(192.168.0.1)。

结果发现要密码……

试了试admin 等一堆常用密码后发现密码错误,正打算放弃的时候试了试 WiFi 连接密码,竟然进去了……

“副路由器管理网页主页”

说真的,这个运气也是没谁了吧……

好吧,让我们到DHCP 设置页面去看看该户人家有哪些设备联网?

“副路由器管理网页主页”

woc…好运终于到头了。这 TM 就很尴尬了,只有我一个人在孤零零地蹭网……只好改天再找机会做点更有趣的事了……

下一步?

打算再找个时间等对方归家后趁其浏览网页时向其中注入js,弹出提示告知其网络配置安全性过低。(已弃坑,逃)

结果

  • 获取了该户人家的WiFi密码
  • 获取了该户人家的光猫超级管理员账户及密码
  • 获取了该户人家的宽带拨号账户及密码
  • 为未来干一些更有趣的事情创造了条件(抓包、ARP等)

你学到了什么?

什么也没学到(逃…

好吧,认真点……这也算是对大家的一个警示:

  1. 看起来大部分光猫在出厂时都没有考虑安全问题,如本例中中兴的此款光猫默认开启telnet而且密码保留为默认密码。用户在安装光纤宽带后应第一时间修改默认密码或尝试关闭telnet。
  2. 路由器管理员密码不应跟WiFi验证密码设成一致……
  3. 远离所谓”WiFi万能钥匙”之类实则为”WiFi密码共享”的软件。