迁移宽带，电信配了个从没听过的猫，还不给超密，好不容易把 telnet 打开了，却没法提权

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 69 天前的主题，其中的信息可能已经有所发展或是发生改变。

坐标 023 ，把宽带从区县迁移到主城后顺便升级到了千兆，电信也给换了一个 XGPON 的猫，型号是「 TGCT-500G 」，中文品牌叫「特艺」，之前从来没听说过有这品牌，另外这个猫也没有 USB 口

安装完过后问师傅要超管密码，师傅说他们现在也没权限看，也就没给我，我说那我以后要改桥接怎么办，他说有需求就联系他，他后台帮忙改

Google 了下，完全没有跟这个猫有关的资料，试着用破解天邑猫的套路（毕竟名字听着差不多），居然成功打开了 Telnet ，以为成功了，结果又卡在了 su 提权这一步，貌似是 root 密码算法又不太一样了（都是根据设备 MAC 计算的）

然后又尝试用旧版小翼管家抓包拿超密，结果也绑定不了这玩意

现在不知道怎么办才好了，TR069 和插件下发这些东西留着实在太膈应人了

第 1 条附言 · 68 天前

更新：

谢谢大家回复，想了一天办法，折腾了一天，没辙了，最后去闲鱼花了 5 块买了超密，把 TR069 干掉了，现在的超密和之前已经不一样了，格式已经从原有的 telecomadmin 前缀 + 数字，变成了纯纯字母 + 数字 + 特殊符号

比较有意思的是，现在这个光猫的网页前端里，除了通用的给删除按钮加 disable 属性防删之外，提交函数的 JS 还会判断用户是不是在删 TR069，检测到了就弹窗不让操作，幸亏是只在前端在限制，也幸亏这套前端代码比较老，不然就难搞了

另外今天研究怎么给 Telnet 提权时，虽然没成功，但是得出了三个结论

光猫的 root 账户应该是被删了，现象是执行 su - root 时直接报找不到用户，本地电脑拿 Docker 跑了个 Alpine 尝试复现了下，症状一模一样，这应该就能解释为何天邑猫的套路前半截能用，后半截用不了了
折腾 Telnet 默认低权限账户时（用户名应该是 nuser），不经意发现了 b01odmv3 这个插件疑似在定时给电信上报连到光猫的所有设备，其中包含设备的 MAC 地址...
系统里承载 FTP 服务的用户权限可能比 Telnet 默认用户权限更高

看来运营商给的东西真得留个心眼，准备另开一个主题说说第二点

23 条回复 • 2024-04-14 10:32:40 +08:00