搞安全运气不好不行

这个CPE是在2020年花了19RMB在老王家入手的…当时拿到后插卡,万能密码admin*2进后台提示请插入对应SIM卡…然后就吃灰了,现在睡不着拿出来试试能不能破解他的锁卡,能刷OpenWrt那当然更好了…

本来想了各种方法,结果这么简单

配置

这个放到进入TTY后再讲

0.信息收集

恩山只有一篇求救贴也是锁卡, XDA发现同公司的ZLT P20 FREE.cfg, 而且要通过后台上传但是我的后台没有配置上传接口 (伏笔)

机器虽然后面写的是富桥通信,但是查到是一家叫通则康威的公司出品的,官网没文档只有介绍…定睛一看…窝火完蛋,真有锁卡…

图片-1681740115638

1.霸王硬上弓

手上现在没有编程器没法直接拆flash…只能ttl了…
掏出扎一下就破伤风的电烙铁,网线剪一截过来

[clark@ArchOwO ~]$ picocom -b 115200 /dev/ttyUSB0

进入串口工具, 插电, 开机(幻听:午安大电牛), 开始跑马, 跑马结束, 开始分析

图片-1681740267195

8+64啊还行勉强Openwrt…这Uboot后面看看能不能TFTP…

图片-1681740258733

后台管理依旧是cgi写的, tzwww的文件都可以通过80端口访问, tzadmin的文件…他只开放了80/23/53端口…估计是其他用途的

图片-1681740214455

支持GSM, 可以试试搞嗅探了,不过不知道这信令是什么样的

图片-1681740199236

牛逼…开机打印Config…而且这种机器一般是没有数据库的…坐等他打印密码出来…

图片-1681740183995

AP的配置信息已经打印出来了…看着这TZ_前缀…大的要来了

图片-1681740150229

不用去查了…admin/admin,他好像有一套权限系统来对不同账户隐藏内容

图片

豁,这变量名SUPER_ADMIN, 应该就是他了, 彩虹表走起…

图片-1681740290230

唉,枯燥…用root登陆进去之后就直接可以关闭锁卡机制了, 能用了QAQ

配置上传接口也有了…

root…该不会系统密码也是…连接telnet, 输入, 回车, 密码错误…让我缓会…

有空再试试Get Shell…看看能不能拿到权限

2.软柿子好捏

未完待续…

已经结束嘞, 板子被我玩坏了…