光猫dt741 Csf的研究记录

Posted by wsxq2 on 2022-03-08
TAGS:  光猫DT741-csf

本文最后一次编辑时间:2022-03-08 17:59:21 +0800

本文是第二次研究光猫后的记录,这次研究的光猫是西安联通的创维研发的 DT741-csf 光猫。上一次的研究参见 试图破解光猫HG8321R的超级用户名和密码

起因

这次研究的光猫是我房东家的光猫,当时我在家里看动漫,结果突然断网了,等了好久都没来网,我很生气,然后“不经意间”看到了过道上的光猫,于是起了“杀心”

PWN

PWN 在这里是攻破的意思,即让攻击者具备此光猫的绝对控制权。该词实际是 OWN,即指拥有所属权,但由于键盘上 O 和 P 相近,所以被打错成 PWN,并流传开来。详见https://zh.wikipedia.org/wiki/Pwn

  1. 访问http://192.168.1.1/hidden_version_switch.gch。勾选Telnet Enable
  2. telnet 到光猫,用户名root,密码Pon521j
  3. 输入命令sendcmd 1 DB p DevAuthInfo,即可得到超级用户名CUAdminCUChina Unicom的缩写,即表示“中国联通”)和其对应的密码
  4. 访问http://192.168.1.1/cu.html,并使用上述用户名和密码登录

此时即对光猫具有绝对控制权。一些提权后的常见操作如下(通常是通过关闭某些复杂的功能以降低光猫的压力,从而提高其转发性能):

  1. 关闭 WIFI 功能
  2. 关闭 DHCP功能

  3. 切换为桥接模式。奇怪的是提权后反而没有找到对应的 Web 界面,需要使用未提权的用户登录才能修改此设置(即user用户)

    温馨提示:桥接是最简单的模式,对设备的性能消耗最低

详情参见:DT741-csf联通创维光猫桥接模式+华为WS5200路由器拨号设置_liuyufeng509的专栏-CSDN博客_dt741-csf改桥接

无法上网原因分析

仔细观察光猫,发现“光信号”提示灯一直红色闪烁,“拨号”和“上网”提示灯均未亮起。登录 Web 后台后,查看“网络侧信息”,发现拨号连接(PPPoE 的那个连接)确实已经断开,且原因未知。再结合正常情况下光猫提示灯的状态:“光信号”熄灭,“拨号”和“上网”绿色常亮。由此我们可以推断,光信号并没有到达光猫,并且可以得出光猫提示灯的逻辑应该是这样的:

  1. 判断光信号是否到达光猫:如果到达,则“光信号”提示灯熄灭;否则“光信号”提示灯红色闪烁
  2. 光猫拨号,并判断否拨号成功:如果成功,则“拨号”灯绿色常亮;否则熄灭
  3. 检查上游是否连接到互联网:如果连接到互联网,则“上网”提示灯绿色常亮;否则熄灭

无法上网真实原因

合租群里有人收到联通的短信通知,大意如下:贵区宽带异常,正在抢修,非常抱歉。

房东的一个需求

由于房东把客厅也改为卧室了,所以目前有五个租户,但光猫的 LAN 口只有 4 个,因此房东想加一个口。这时一个交换机即可解决此问题。因此我让房东买了个 120 元的全千兆交换机,将其某个网口连接到光猫的第一个 LAN 口(只有它是千兆的),另外的 7 个网口即可连接到各个卧室(租户),从而解决了此问题

游手好闲的我

我在研究光猫改桥接时,看到了当前模式为 PPPoE,于是我想改成桥接试试,结果由于没有记住拨号的用户名和密码,所以我无法恢复原状了。

当时我非常慌张,但很快我冷静了下来。因为当时我有打开浏览器的“开发人员工具”(即 F12),记录了 Web 上的所有操作对应的请求和响应(在“网络”标签页),而我改成桥接之前似乎是显示了用户名和密码的。且我大概记录用户名的前 3 位是029,于是我Ctrl+F,输入029进行搜索,很快找到了对应的响应,从而找到了拨号的用户名,然而遗憾的是没有找到真正的密码。密码在响应的 HTML 中是\x2a\x2a\x2a\x2a\x2a\x2a,即******,但很显然这不是真正的密码。因此我尝试使用其他方法找出拨号密码。

在使用 telnet 连接光猫并用前述的 root 用户登录后,我直接在根目录grep -rn '029' .,然而等了很久都没有找到想要的结果

于是我开始在网上搜索。花了较长时间后没有找到从光猫上获取拨号密码的方法,但是找到了重置拨号密码的方法,且非常简单——打电话给 10010 即可。

然而打电话后,却发现需要提供办理人的身份证号,因此我只能求助于房东,幸而房东没有追究此事,将办理人身份证号告知了我,然后我成功重置了拨号的密码,最后将光猫恢复到了之前的状态

后来中国联通解决了宽带故障,也就能上网了

一些思考

为什么网上充斥着光猫改桥接的教程?光猫改桥接有什么好处?为什么?

因为改桥接可以提高网络性能,主要是指降低网络延迟,提高网络速率。所以大家热衷于研究此事。原理也非常简单,关闭光猫不必要的功能,减少其负载,从而让其专注于将光信号转换为电信号这一点上。具体而言就是使用桥接模式、关闭 WIFI 等

如果我想提高我的上网体验,除了改桥接,我还能做什么?

最高性能的方案:光猫改桥接、使用高级路由器(这里说的是企业级路由器)拨号、使用高级交换机(企业级交换机)连接主机(用于有线)、使用高级 AP(企业级 AP)产生 WIFI(用于无线)

但这样一来就存在以下问题:成本过高、网络拓扑较复杂

那么更可行的方案是什么?光猫仅桥接,买个较贵的家用路由器实现拨号、连接主机、产生 WIFI 等功能。这也是网上盛行的方案

那么有更好的方案吗?如前所述,改桥接让光猫的功能变得非常纯粹——将光信号转换为电信号。那么我们能否直接使用带光口的路由器呢?高级路由器通常带SFP口。于是我找到了这个:自宅网络改造计划:换光猫,用Mikrotik改VLAN、连PPPoE,拯救固话,等等 - 知乎。看了之后我就放弃了这种想法,因为太麻烦且复杂了

再后来,我又想返璞归真,直接买个高性能的光猫如何?出于对思科的信任,我想买一个思科的产品,但找了一段时间,并没有找到想要的答案。然后我将目光放向了其他厂商,但也没有找到百分百高性能的

回过头来,看下我家里当前的网络环境是怎样的?是否有优化空间?

ISP服务商-光猫-AP。其中光猫的 LAN 口提供有线能力,AP 提供无线 WIFI 能力。

那么性能瓶颈在哪里?一方面是我家墙内的网线太差,只支持 100 Mbps;另一方面是买的宽带也不强,中国移动 100 Mbps,其延迟不稳定,速率也不高。所以都是源头上的问题,很难解决。

所以我决定放弃了。目前只是关闭了光猫的 WIFI 功能,并没有改为桥接模式。用的 AP 倒是一个不错的路由器(545 元的 TP-LINK Archer C7 V5),甚至能刷 openwrt,回头可以用于深入研究 openwrt

总结

此光猫中有大量的用户名和密码,简要说明如下:

  • Web 用户
    • 普通用户:即光猫背后提供的用户名和密码。通常是user用户,密码随机。权限较低
    • 超级用户:即具有完全控制权的用户。通常是CUAdmin(中国联通)或CMCCAdmin(中国移动),密码固定(或许也不一定?)
  • telnet 或 ssh 用户:
    • root: Linux 系统中最高权限的用户,密码固定。众所周知,光猫的系统其实就是 Linux,所以有了此用户,理论上意味着无所不能
  • LOID用户:用于光纤光信号的认证。密码不固定,较易获取。直接访问http://192.168.1.1/hidden_version_switch.gch即可获取
  • 拨号用户:用于拨号。用户名可以从 Web 相关界面中获取,密码可以打 10010 来重置
  • WIFI用户:用于连接并使用 WIFI,密码可以由用户自行设置。或许这不算是用户?

和上一次研究光猫的经历对比后可以发现,华为的光猫在 PWN 上的难度是要高于创维的(其实我很奇怪,创维不是生产电视的吗,居然还生产光猫?),即华为的那个光猫更安全

链接

下面总结了本文中使用的所有链接: