记录一次破解 ZLT P10 CPE 的过程 (超级简单, 而且运气好)

记录一次破解 ZLT P10 CPE 的过程 (超级简单, 而且运气好)

搞安全运气不好不行*

这个CPE是在2020年花了19RMB在老王家入手的…..当时拿到后插卡,万能密码admin*2进后台提示请插入对应SIM卡….然后就吃灰了,现在睡不着拿出来试试能不能破解他的锁卡,能刷OpenWrt那当然更好了……

本来想了各种方法,结果这么简单

配置

这个放到进入TTY后再讲

0.信息收集

恩山只有一篇求救贴也是锁卡, XDA发现同公司的ZLT P20 FREE.cfg, 而且要通过后台上传但是我的后台没有配置上传接口 (伏笔)

机器虽然后面写的是富桥通信,但是查到是一家叫通则康威的公司出品的,官网没文档只有介绍…定睛一看…窝火完蛋,真有锁卡….

1.霸王硬上弓

手上现在没有编程器没法直接拆flash….只能ttl了…… 掏出扎一下就破伤风的电烙铁,网线剪一截过来

[[email protected] ~]$ picocom -b 115200 /dev/ttyUSB0

进入串口工具, 插电, 开机(幻听:午安大电牛), 开始跑马, 跑马结束, 开始分析

8+64啊还行勉强Openwrt……这Uboot后面看看能不能TFTP….

后台管理依旧是cgi写的, tzwww的文件都可以通过80端口访问, tzadmin的文件….他只开放了80/23/53端口….估计是其他用途的

支持GSM, 可以试试搞嗅探了,不过不知道这信令是什么样的

牛逼…..开机打印Config….而且这种机器一般是没有数据库的….坐等他打印密码出来…..

AP的配置信息已经打印出来了….看着这TZ_前缀….大的要来了

不用去查了….admin/admin,他好像有一套权限系统来对不同账户隐藏内容

豁,这变量名SUPER_ADMIN, 应该就是他了, 彩虹表走起…

唉,枯燥…..用root登陆进去之后就直接可以关闭锁卡机制了, 能用了QAQ

配置上传接口也有了………….

root….该不会系统密码也是…..连接telnet, 输入, 回车, 密码错误…..让我缓会…

有空再试试Get Shell….看看能不能拿到权限

2.软柿子好捏

未完待续….