破解电信光猫

贝尔 E-140W-P

购买ttl转usb线并连接光猫

USB模块           光猫
     GND———GND
     RXD———TXD
     TXD———RXD

这样接线就行,3V/5V的线是不用接的。

pc端配置

然后安装配套的驱动和SecureCRT

去设备管理器内找到这款USB的COM PORT X,设置一下每位秒数115200 ,控制台和设备管理器内都得设置。


开始获取管理员密码

然后通过控制台成功连接后重启光猫,直到出现很多行

XXXXXXXXXXXXXX – SSMU: ssmu_nmm_get_proxy_addr parse ip failure, proxy=(null)
XXXXXXXXXXXXXX – SSMU: ssmu_nmm_get_proxy_addr parse ip failure, proxy=(null)
XXXXXXXXXXXXXX – SSMU: ssmu_nmm_get_proxy_addr parse ip failure, proxy=(null)
XXXXXXXXXXXXXX – SSMU: ssmu_nmm_get_proxy_addr parse ip failure, proxy=(null)

的时候按回车就能输入账号和密码了,全部是admin

然后勾选SecureCRT界面中的“文件-会话日志”后输入show mdm config 就能输出配置文件信息(***.log文件)了,其中COM_TeleComAccount内容就是超级密码。

光猫端

有了超级密码我们用telecomadmin / 超级密码登录光猫
使用useradmin / 超级密码也可以

用老办法导出配置文件

下载地址

http://192.168.1.1/backupsettings.conf

然后记事本打开,可以修改以下内容

1:超级密码

<X_CT-COM_TeleComAccount>
<Password>我是超级密码</Password>
</X_CT-COM_TeleComAccount>

2:超级账号 / 普通账号 / 密码

<X_BROADCOM_COM_LoginCfg>
<AdminUserName>我是超级账号</AdminUserName>
<UserUserName>普通账号</UserUserName>
<UserPassword>普通密码</UserPassword>
</X_BROADCOM_COM_LoginCfg>

3:禁止自动修改/还原配置文件

<ManagementServer>
<URL>http://devacs.edatahome.com:9090/ACS-server/ACS</URL>
……………..已省略
</ManagementServer>

修改http://devacs.edatahome.com:9090/ACS-server/ACS

为不存在的地址即可,例如http://devacs-disabled.edatahome.com.com:9090/ACS-server/ACS

4:同时可连接设备数
<X_CT-COM_MWBAND>
<Mode>1</Mode>
<TotalTerminalNumber>我是同时可连接数</TotalTerminalNumber>
<STBRestrictEnable>FALSE</STBRestrictEnable>
……………..已省略
</X_CT-COM_MWBAND>

上传地址

http://192.168.1.1/updatesettings.html

修改成你想要的内容后保存,上传并更新,路由会自动启动。
启动好后就是你想要的设置啦。

5:用telecomadmin的密码进192.168.1.1的页面,把“网络-网络设置”里连接名称带internet字样(下拉可见)的配置删除,再“新建wan连接”,直接把连接模式从“路由”改成“桥接”就点最下面的“添加”,再点“保存”,重启光猫完工!

HG2821T-U

开盖方式:
1) 拔下所有线缆, 在底部拔下4个橡皮脚垫,拧下4颗螺丝;
2) 用指甲轻扣边缘凹进去的一圈地方,即可打开。注意要拔下底板上光接头,不要弄脏。
3) 具有5个引脚的J2位于线路板左前角出。
内部电路板上串口为J2,有5根引脚。黑三角标示出引脚1:
1-VCC;2-TX; 3-RX; 4-GND; 5-???
串口设置8N1,115200. 只要连接2,3,4引脚即可。

以下是开头显示的一些信息:
BGA IC
Xtal:1
DDR3 init.
DRAMC init done.
Calculate size.
DRAM size=512MB(supported max size)
Set new TRFC.
ddr-1066

7512DRAMC V1.2.2 (0)
Set SPI Flash Clock to 25 Mhz

EN751221 at Wed Jul 5 21:47:24 CST 2017 version 1.1 free bootbase
Memory size 512MB
Set SPI Flash Clock to 25 Mhz
spi_nand_probe: mfr_id=0xd5, dev_id=0x12
Dected SPI NAND Flash : SPINAND_DEVICE_ID_EM73D044SNA, Flash Size=0x10000000
bmt pool size: 164
BMT & BBT Init Success
Press any key in 3 secs to enter boot command mode.
……………………………………………………
Decompress to 80002000 free_mem_ptr=80780000 free_mem_ptr_end=807B0000
bootflag=0
rootflag=0
75xx: 0x0

通过开机信息可以看到,内核支持多个USB转串芯片,应该可以通过USB串行连接该设备。本人还未试过。
支持的U转串芯片有:
pl2303
cp210x
CH341

串口登录用户密码为:root/hg2x0
/flash/cfg/agentconf # ls -l
total 1988
-rw-r–r– 1 root root 264 Jan 1 2017 digitmap
-rw-r–r– 1 root root 0 Jan 1 2017 dl.conf
-rwxr-xr-x 1 root root 1294 Oct 3 15:47 factory.conf
-rw-r–r– 1 root root 18 Jan 1 2017 factory_reset.conf
-rwxr-xr-x 1 root root 11 Jan 1 2017 fr.conf
-rw-r–r– 1 root root 843049 Jan 1 2017 hgcxml.conf
-rw-r–r– 1 504 504 53 Jul 5 22:02 ids_protocol.conf
-rw-r–r– 1 root root 2193 Oct 3 15:53 param.log
-rwxrwxrwx 1 root root 591789 Jan 1 2017 param.xml
-rwxrwxrwx 1 root root 591789 Jan 1 2017 param_bak.xml
-rwxr-xr-x 1 root root 831 Jan 1 2017 precheck_prerepair.conf
-rw-r–r– 1 root root 32 Jan 1 2017 request_auth.conf
-rw-r–r– 1 root root 12 Jan 1 2017 sys_conf.conf
-rw-r–r– 1 root root 0 Jan 1 2017 tasklist_conf.conf
/flash/cfg/agentconf #

重要文件有两个:
/flash/cfg/agentconf/factory.conf — 含有当前超级用户密码等信息;
/flash/cfg/agentconf/param.xml — 各种配置信息。

为方便起见,可插上一个U盘,把这两个文件写入U盘上看。
cp /flash/cfg/agentconf/factory.conf /mnt/usb1_1/
cp /flash/cfg/agentconf/param.xml /mnt/usb1_1/

超级用户:telecomadmin,在第一个文件的前两行即为超级用户和密码。
若没有安装过,或者按过reset,那么超级密码就是 nE7jA%5m

sdn123456