查看: 12533|回复: 145
北京联通光猫华为HG8346R破解方案大公开
本帖最后由 irc163 于
08:08 编辑 " Z5 [3 n2 ~8 d% p9 ]&&h1 w9 }" s2 ^
0 T, ]3 N8 O. W7 ^
北京联通光猫华为HG8346R/HG8321R破解方法介绍
( v* ]6 X+ l5 a9 q: X
北京联通的华为HG8346R是我接触的第一个光猫，因为2015年7月初刚刚进行了光改。原以为光纤安装完毕后就很简单，哪料到此光猫为路由模式了，客户只有普通用户权限，里面的设置就是供你看看，想加点常用的诸如端口映射、开UPnP等都是不行，PT下载就不给力了，于是决定破解。 去X宝上问了问，发现都说这个猫很难破解，只有一个人说可以，叫价80元。 本来我以前就是搞软件的，反正最近也不是很忙，求人不如求己。经过20多天的研究，终于搞定此光猫，同时还学习和掌握了较多的华为光猫的设置以及破解知识。
9 W4 o# g# Q% B: n
北京联通华为HG8346R固件基本的情况
+ P&&S! D+ {" [% K: m
; A5 f1 M6 a4 `5 c3 r4 v
固件版本为 V300R013C10S112
, C1 B. O6 q, o# Z
此猫破解的难点： 3 R3 q) L9 b4 t5 D
① hw_ctree.xml 配置文件里面没有超级管理员账户，即使长按RESET恢复出厂模式后也是一样。 没有电信光猫那样恢复出厂模式后有 telecomadmin 超级管理员账户，也没有像其它地区联通光猫那样有 CUAdmin 账户。& Y! i: i- c% `+ c1 X& @
9 n2 I* x& r# r6 v& a&&z' b
以下摘自解码后的hw_ctree.xml配置文件：
; z" M# i/ d1 ?) z&&U$ M
-&X_HW_WebUserInfo NumberOfInstances=&1&&; [6 m0 |1 y* P$ e4 N0 Q% D: t+ _
&X_HW_WebUserInfoInstance InstanceID=&1& Enable=&1& Password=&h559fvxj& ModifyPasswordFlag=&0& UserLevel=&1& UserName=&user&/&' F; S! a6 e8 j: J) |
&/X_HW_WebUserInfo&
可以看到web登录只有一个 user 账户，用户密码为明文，并且没有更改过。
另一台光猫：* n9 \8 Y1 x9 {& z8 A- J7 Y
: Y9 F! m0 \$ [' v& y&&i1 X
-&X_HW_WebUserInfo NumberOfInstances=&1&&
&X_HW_WebUserInfoInstance InstanceID=&1& Enable=&1& Password=&a9d83df66480abbceafa& PassMode=&2& ModifyPasswordFlag=&1& UserLevel=&1& UserName=&user&/&1 R( C9 D- ]3 @
&/X_HW_WebUserInfo&$ E; x&&j6 ]1 e9 h
可以看到web登录只有一个 user 账户，用户密码是用MD5＋SHA256双重加密的，这是以后一段时间华为光猫配置文件解码出来的主流了。 MD5和SHA256是不能逆向破解的，只能暴力破解。所以如果密码的明文是复杂密码的话，想破解几乎不可能。
, @& I, b/ c$ c1 z- y2 V, C8 O
② 配置文件解密后，其中凡是存放密码的部分仍然是密文的形式存在的。因此也无法通过解密hw_ctree.xml方式后看到诸如语音鉴权密码等重要信息。
ManagementServer Password=&$1I!xxEnCH.)l'k:*fsfL72g%!$& Username=&cpe& X_HW_DSCP=&0& X_HW_CertPassword=&$16haQJY=:U'R`cLQi}aR&2g%!$& $ T/ v0 H! p7 W3 Y) ?+ n
ConnectionRequestPassword=&$17sy(~.fgSLvGQX3$2R&G2g%!$& ConnectionRequestUsername=&acs&&&, ^: {. `* O# [. r
+&SIP URI=&+& AuthPassword=&$15p'W*q[of4x|[dK*_RI+1g%!$& AuthUserName=&+&&
上面这个是与语音功能非常相关的鉴权密码部分' P- I4 p! `% ~7 ], @
破解北京联通华为HG8346R所需要的工具软件( H+ O&&Z' y& ^# K( L: H4 v&&z
0 n# _' Y. L3 `7 x, M) ~' i( k1 I
① 华为光猫ONT维修使能工具
由于北京联通华为HG8346R的固件是V300R013C10S112，因此随便在网上搜寻一下都可以找到2014年12月出的使能工具并下载（本论坛上也有，不过需要猫粮），就可以打开此光猫的Telnet。 而如果你的光猫已经是R013C10S121及以后和R015版本的固件的话，需要使用更新版本的ONT使能工具了。
用于备份配置文件，可以到： tftpd32.jounin.net 下载。 2 n. I# ^$ m6 C" n# w
$ Z6 l( ~# ]) a5 h2 {
③ Windows下的华为配置文件解密和加密工具% ~' l* |$ S+ h% L% J0 C
, B0 _0 L&&|. D. p
这个工具可以在Windows下对华为hw_ctree.xml进行处理，可以解密解压缩成为明码的形式，同时也可以加密压缩还原为原始的形式。相当于华为光猫中的 aescrypt2 命令。
3 E% O4 `! v&&`2 S' {8 [
④ su密码算号器 (R015版本不需要）
用于计算su密码，进入su_wap模式。 + f$ z, p+ n) ^/ ?
破解北京联通华为HG8346R方法
) }; R) T1 a4 A1 Z: |
① 使用华为光猫ONT使能工具打开Telnet&&z$ V. Y3 k- J( X
% M0 l! U( ^4 r( z3 m$ n- E
② 进入Telnet后 （用户名:root 密码：admin），使用backup cfg 命令备份出自己光猫的配置文件 hw_ctree.xml （配合tftp32), T& |2 J+ P/ r& G9 V
7 v6 ~& ~; f& U, @. Z# f0 x5 i9 u
备份配置文件对于无损破解光猫，还原你光猫原有设置起非常重要的作用。它至少有以下几方面的用途：&&T$ Z0 P4 f! f$ q6 f&&K
&&⒈ 光猫破解完成后，将稍加修改（主要是超级用户的密码部分）的配置文件重新导入回光猫里面，使光猫恢复原先光猫里面所有的设置，因此再不用担心语音不行、ITV不行、上网不行了。
&&⒉ 你要是自己换猫的时候，如果更换的也是华为基本同类型的猫的话，直接将原来的配置文件导入新猫里面去，原来猫里面的所有设置一下就在新猫里面设置好了。) ~; w4 G, H&&}! Z
&&⒊通过对原配置文件以密文形式存放的诸如语音鉴权密码等信息进行解密得到密码明文，即使在你更换其它厂家，比如中兴、烽火的光猫的时候，同样可以配置成功，保留原猫的所有功能。( V6 X( k: S8 T/ D9 O
! R% _0 X3 C, P' i& C& l3 `: s
因此我个人感觉：如果自己光猫的配置文件在手，有走到哪里都不怕的赶脚啦。因此备份配置文件非常重要。* k9 K$ X&&_% G1 `, M
8 c+ ~2 J/ h* H1 Z
$ I$ s( O+ K; H2 o3 j&&s
③ 得到配置文件后可以使用SU命令，然后输入su的密码提权后，通过一些命令将光猫恢复为华为界面。( Y- c1 B$ w9 `2 Q7 `0 K; B$ m2 q
+ J. {) T) I. R6 ?
+ m: g7 r" e! A2 w0 G' F( q
④ 使用hw_ctree.xml配置文件解密工具将其解码后，将其中的UserLevel=&1&修改为 UserLevel=&0& ，即将user用户变更为管理员权限用户
&X_HW_WebUserInfoInstance InstanceID=&1& Enable=&1& Password=&h559fvxj& ModifyPasswordFlag=&0& UserLevel=&0& UserName=&user&/&( G% u* ?4 P8 k5 t&&\# K1 V
其中的Password项也可以修改为自己需要的密码。 然后再使用配置文件工具将配置文件加密压缩还原成为华为光猫里面的状态，从而便于今后导入光猫中。
# G2 d( W8 k&&D&&v* \
* O: k1 S1 ^$ T
. K. \5 p9 i5 s/ K1 ~/ N" H- G: G0 A
其中C2为配置文件加密解密工具（命令行使用）， guo.xml 是从光猫导出的hw_ctree.xml 配置文件， 通过C2工具先解码成为 guojiemi.xml 然后用记事本修改后，再通过c2工具加密还原成为guojiami.xml文件。
: S: {$ R! ?/ f) N* _; s4 q
⑤重新启动光猫后，已经恢复为华为登录界面，并且有telecomadmin超级用户权限，登录进去以后，使用配置文件导入功能将上面生成的guojiami.xml配置文件导入即可。光猫重新启动后，以前的所有设置全部恢复回来了。
6 r# B; z7 B! n6 Z1 D% x
, o! J' N7 A$ h8 F& N) W4 {
恢复到华为界面后功能强大（同时比电信和联通界面下超级管理员的功能还多一些）。$ ]# h3 N4 {1 W( i6 ?* B
. r* R1 S; J7 L8 L) J/ r
路由和桥接可以自由选择
3 c- i8 X0 [* I/ L2 z
" n1 @0 o% q4 p/ d4 D' h' e# O
端口映射可以设置' h/ m- |( T) A0 C
4 k4 P, _) X! I) l' T) R
有些人很关心的连接电脑台数的限制可以修改，也可以不启用。
: u&&B* ^& j6 x' C0 K* v# W
其实经过这段时间研究后才发现，这个北京联通的华为HG8346R在破解上算是不难的，而X宝上只有很少人能够破解，说明X宝上光猫破解人的水平大部分也都一般。经过进一步深入的研究，目前可以说即使安装了最新固件版本的猫（比如R013C10S123或者R015），也有方法搞定，同时光猫的语音鉴权密码也有方法可以解码。有需要技术支持的可以PM我或者 Q\
新的光猫安装的是 V300R015C10S109 或 V300R015C10S111 版本的固件，用同样的方法也可以搞定。
本帖子中包含更多资源
才可以下载或查看，没有帐号？
8 d7 r9 G- G' O( c9 |; A' Q! Z
想請問您，HG8247H的超級密碼解法，和您的HG8346R應該差不多吧?&&d, e( t5 Y2 [) H$ n6 ^9 d
8247H在大陆没见过，只玩过8245H和8247(a）
能否发版本号一看：4 ^* y) L+ }$ f$ |5 D
display version# q) {* M2 o8 \# F+ l
display deviceInfo
1 m. K7 b* n9 i, f9 b5 r) V2 M
WAP&display version 9 k3 s2 D0 k$ k
hardware version& && && & = 4B4.A; W0 ]' `2 o( H% C, k9 o6 u
main software version& &&&= V3R013C10S122 ...
确实像HG8247a，但与HG8247a反而差别较大（HG8247a有CATV接口）。: O- `' |! {" f/ }4 H7 Z
你现在到底是要破解超级密码呢，还是要破解被加密的配置文件？7 A+ _& K8 Y7 w9 r2 u2 ]
這台有CATV端口的
目前可以使用telecomadmin/admintelecom登入UI，但想要取得telnet/ssh下的su權限
在UI上無法設定Logical ID，或許需要更高的權限才可以開啟?&
呵呵 真是高手&&佩服！佩服！业余真有高人啊！工具是最新的! 思路是最新的，谢谢！
北京已经不错了，给的光猫至少不是阉割版的，吉林省长春市给的广袤全是阉割的最低配置版的。坑爹啊。目前来说最好的还是千兆的HGR GPON的有线是百兆的。的哦啊还语音自己设置了能用了，其他参数也得自己设置，原来联通给配的猫是HG8110，再后来给配的就是HG8311，HG8311就不能用Telnet了。8346R没试，用超级账户和密码进去自己改的。为了调试HG8245装了2条光纤。没被坑死。
华为的光猫我接触的比较少，我这边有台华为的8321R不知道怎么清空配置，放在那里吃灰呢
HG8321R 也是不错的，可以改成华为界面后用起来，如果觉得没用，价格合适的话我可以收了。：）&
楼主厉害啊，mark一下
支持楼主 ， 好思路呀！
其实这个思路我在你的帖子和你交流的时候都告诉你了，可能当时你理解不深吧。 你现在换烽火了，我就不懂了。&
支持楼主 ， 好思路呀！
其实这个思路我在你的帖子和你交流的时候都告诉你了，可能当时你理解不深吧。 你现在换烽火了，我就不懂了。
烽火的 密码出来了。 进去看看也没啥可玩的。
试了下双拨
其实这个思路我在你的帖子和你交流的时候都告诉你了，可能当时你理解不深吧。 你现在换烽火了，我就不懂 ...
烽火的 密码出来了。 进去看看也没啥可玩的。&&试了下双拨&&不行。&&
LZ HG8310M 无 WAN口配置界面能界面吗？我通过telecomamdin账号密码进去的！无WAN设置界面！
升级固件到V300R013C10S103，然后恢复华为出厂设置后试试。 无WAN口，一般是设置文件中出错，或者hw_boardinfo 或者 board_type 文件限死了。&
用的是阉割严重的i120e，几乎常用方法失效，头疼。楼主好威武，贊贊。
Powered by昨天电信的工作人员来安装了电信的光纤宽带，使用的是华为HG8120C这款光电转换器与路由器一体机
这导致下级路由无法直接使用PPPOE拨号连接到互联网，且无法使用端口映射来实现外网访问
而华为开放给用户的useradmin这个账号基本就是给你看着玩的，什么设置都改不了
必须获取到telecomadmin这个超级用户的密码，才能换路由为桥接
这款光猫在连接光纤后已经被电信远程关闭了telnet，无法直接获取，但还算可以曲线救国
下面介绍方法
摆脱电信控制
当你连接上光纤后，你的光猫就会被电信远程控制，修改telecomadmin账号的默认密码，关闭telnet，甚至还可以监控你所发送的数据包，所以我们首先必须摆脱电信的控制才能继续操作
若你的光纤猫还没有连接过光纤，建议你事先进入telecomadmin账号关闭远程控制，默认密码应该是：nE7jA%5m
1、将你的电脑通过有线直接连接到光猫的LAN1口，保证稳定的连接
2、拔掉除了电脑连接线以外的所有线缆，包括光纤线，接下来重启光猫
启动telnet
为了拿到这款华为工厂工具，我在淘宝网花了30元购买，这里免费共享
1、下载恢复工具：
（华为工厂恢复工具）文件大小：未知
2、运行这个exe程序，选择“维修使能”，并选择连接到光猫的网卡，接着点启动即可
3、接下来下面的发送进度这个进度条会开始有进度，这时候观察你的光猫指示灯（注意：一直保持光纤断开状态，切记不要连接光纤！），刚开始光信号灯会是红灯闪烁，等到光信号灯不亮，LAN1、LAN2、网络E/G三个灯长亮，这时即可按下工具的停止按钮，关闭工具
4、重启光猫
获取超级用户密码
重启完成重新连接到光猫，telnet应该就被打开了
1、在cmd中输入下面的命令：
telnet 192.168.1.1
telnet 192.168.1.1
若提示telnet命令不存在，建议下载putty，使用telnet模式连接
2、接下来会进入光猫telnet界面
3、输入下面的信息：
用户名：root
密码：admin
4、通过授权验证，接下来会进入控制界面
5、依次执行下面的命令
cd /mnt/jffs2
shellcd /mnt/jffs2ls
若看到下面的界面即为正常：
6、继续执行下面的命令获取密码：
cp hw_ctree.xml myconf.xml.gz
aescrypt2 1 myconf.xml.gz tmp
gzip -d myconf.xml.gz
cp hw_ctree.xml myconf.xml.gzaescrypt2 1 myconf.xml.gz tmpgzip -d myconf.xml.gz
正常反馈如下：
7、经过复制、解密、解压，现在密码就已经被破译出来了，保存在myconf.xml中，需要查看的话运行下面的命令：
grep telecomadmin myconf.xml
grep telecomadmin myconf.xml
会出来下面的一串字符：
其中Password=后面就是我们寻觅已久的超级用户密码，将它复制出来保存好，若你会vi命令，理论上也可以改密码，详见：
登录超级用户并关闭远程
1、现在断开telnet，直接进入后台管理界面，输入刚刚的用户名和密码（不要连接光纤）
2、你会发现设置项目变得专业和强大了不少，进入网络-远程管理，取消“使能周期通知”复选框，点击“应用”，彻底切断电信的远程控制
3、连接上光纤以及一切你要连接的线，测试网络/IPTV/语音是否正常，理论上不会有任何影响
路由模式修改为桥接模式
这设置再强大终究还是不如我们的路由器可靠，我们需要关掉光猫的路由功能，才能实现完全的自由
1、进入后台-网络-宽带设置，选择“4_INTERNET_B_VID_1117”
2、将连接类型由“路由WAN”改为“桥接WAN”
特别注意：在修改为路由器拨号后，我们必须知道自己宽带的账号密码才行，账号在光猫中能看到，而密码很多都是加密存储，无法获取，若你不知道密码，可以打10000询问，或者在这个网址进行密码重置：（四川地区，其他地区自行查找）
3、点击“应用”按钮，稍等一会，网络便会断开
配置路由器与端口映射
1、接下来断开电脑，在光猫下连接好路由器
2、进入路由器的PPPOE设置界面（注意路由器网关不能设置为192.168.1.1，否则会与光猫冲突），输入你的宽带账号密码，确认拨号即可上网！
至此，我们已经完全摆脱电信的控制，获得了最高控制权，获得了完全的自由！
3、对应的，端口映射和动态域名之类的全都可以用了，看起来电信并没有封锁80端口
4、大获全胜！
公告栏SCKA博客尝试全站启用HTTPS，若存在问题，请大家积极反馈生日倒计时
Copyright &求解华为HG532e速度一直被限制在108k/s_华为ascend吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：41,396贴子：
求解华为HG532e速度一直被限制在108k/s收藏
如题，恢复出厂设置也没用，用这个路由器的无线一直被限制在108，嘛意思。求大大们解释啊(#泪)(#泪)
强者本色，从容尽释。路虎揽胜运动版SVR荣耀接战007，与邦德大演对手戏！
没人愿意给解吗？别介啊各位
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或}