电信贝尔G

上次写的旧猫(兆能)寿终正寝了...一是网速跑不满，二是老断流。遂在咸鱼20元淘之，是电信WIFI-6千兆GPON猫

这篇介绍了这款猫修改超级密码、开telnet、改WiFi配置、刷OpenWrt子系统并自由安装软件和救砖的流程

参阅的文章如下，感谢大佬们的付出:

1.诺基亚贝尔 G-1425-MA 移动 GPON 光猫 get shell | llccd's blog

2.[晒图] 内蒙古移动诺基亚贝尔G-040G-MB

3.联通贝尔光猫G-140W-UG修改为桥接/管理员密码并开启telnet

4.【刷机实战】为网友救砖贝尔G-140W-C光猫

一.打开telnet

进入正题，首先要知道自家的LOID、密码(可以找人工/装维)、PPPoE账号密码(这个没有可以电信APP查改)，然后拔光纤，大胆按RESET直到重启。

(如果有小翼管家也可以抓包改请求查到密码，这里就不写了)

别理它的自助注册，用nE7jA%5m登进去，访问这个链接点一下开启。telnet进去要密码？用useradmin/背后贴的密码登进去

然后输入su useradmin_ftp，还是贴的密码，uid就变成root了~

经过研究rc脚本发现开机时会调用/config/postapp.sh脚本，因此可以把telnet启动固化到这里(默认telnet 24h后就关了):

#!/bin/sh

uptime > /tmp/postapp.log

# close all leds after boot complete

# oflt led off

while true

do

/usr/sbin/telnetd -F -l /bin/login -p 8023 -b 192.168.1.1 -m1

echo "[ERROR] telnetd had been killed! ret: $?" >> /tmp/postapp.log

echo "[ERROR] Restarting telnetd..." >> /tmp/postapp.log

sleep 1

done

exit 0

(因为我是换的猫，为了避免装维上门我克隆了旧猫的MAC和SN，具体看参考文章)

二.修改超级密码

可恶，陕西也开始自动修改超级密码了，但不是每天变，是配置业务时下发一次

经过研究，cfgcli -a > /mnt/config.xml可以dump光猫的明文xml配置，用ftp下载下来后用Python parse一下，超级密码所在的键是InternetGatewayDevice.DeviceInfo.X_CT-COM_TeleComAccount.Password

cfgcli -g {path}查一下，竟然是***(笑)，只能修改了~用cfgcli -s {path} {password}修改超密后实时生效

Wi-Fi名所在的键: InternetGatewayDevice.LANDevice.1.WLANConfiguration.{dev}.SSID，其中dev 1是2.4G，dev 2是5.8G，实时生效。

三.刷OpenWrt子系统

和我上一篇的目的类似，光猫具有足够的nand flash空间，可以用来跑一些应用，因此为子系统移植busybox和开启telnet

将系统复制到FAT32格式的U盘上，插上光猫。登录光猫，切到root后cd /mnt 找到你的U盘，输入md5sum saf.img，比对md5是否为c1bacafb797dab2f6100f67d5b21647c

新的下载链接

如果MD5一致的话，输入dd if=saf.img of=/dev/mtdblock11，有返回后输入sync两到三次，会卡一段时间。结束后输入reboot重启

重启后telnet开在2323端口，账号root，密码默认为空

GCC编译器请选择mipsel

请务必使用passwd修改root密码！否则onu暴露在外网被当肉鸡概不负责！

(p.s. 这款猫的主系统也是squashfs，想要修改的自行提取，Linux系统下修改吧~但CFE没密码进不去，刷砖了大概率只能上编程器喵~)

提供一个备份: 下载链接 (密码写的很清楚了，不要问)

四.救砖

发现系统的/etc是可写的ubi分区，因此我修改了一些文件，然后用chattr +i /etc/shadow固定，结果悲剧了...8080服务起不来，telnet登不进去，重置之后直接半砖了...QWQ

参考文章，这款猫直接引出了ttl插针，遂拆之。我的这款已经没有丝印了，定义如图：

网线口朝上，自上而下是TX RX GND

使用PuTTY链接，速率115200，跑码结束后竟然不是shell，按惯性输入?，输enable和shell，竟然也要密码…

参考文章，这个密码是固定的LA(ImvZx%8，输入后成功进系统，原模原样复原即可

又翻了一下，CFE的账号密码是电信的超级密码

主系统的busybox被魔改过，-h的帮助文档是乱的，并且普通用户无权使用vi...

这个网关是4.0的，但是连不上小翼管家，提示未连接插件中心，8080后台显示连接成功，奇怪...

二编:

发现这个网关还有全锥NAT(FullCone NAT)功能，但是web界面隐藏了这个设置，可以通过命令打开，提升家里的NAT等级：

cfgcli -s InternetGatewayDevice.WANDevice.1.WANConnectionDevice.2.WANPPPConnection.1.X_ASB_COM_FullconeNATEnabled true