中兴光猫 ZXHN F450 3.0 漏洞分析与利用以及破解

tangqianghc

最近家里宽带升级了200M，于是某信以我的老光猫（烽火某型号）不支持为由，给我换了新的光猫。说实话还是有点不舍得的，毕竟老的光猫是没有无线的（个人觉得这是个累赘，家里已经装了UBNT的AP覆盖，而且也会增加光猫的功耗，最关键我的老光猫是破解的，出入管理界面自由）。然后就对破解光猫有了新的认识，比如什么是LOID啊，什么是ITMS啊，巴拉巴拉。

ZXHN F450 3.0的光猫，应该是江苏这里主流的新款光猫吧，我尝试了网上流传的所有破解方法，无一能成功的。所以就自己分析可能存在的漏洞，然后尝试利用并且破解。虽说现在回想以及使用漏洞破解轻而易举，但当初（3天前）想破乳头（乳就是小的意思）都找不出解决的办法，不过整个的破解过程还是需要唠叨一下的，毕竟这样才显得博学（误，对破解其他光猫会有很大的帮助，因为我用其他的方式，又破解了一台华为HG8145C 2.0的光猫，对于老光猫的话这些老方法还是很有效的。

1.        光猫到手我就拆了，因为知道破解光猫最终极方法就是TTL大法，于是我找出年代久远的CH341 土豪金编程器，跳线帽调至TTL模式，杜邦线接到光猫。以我多年PCB Layout经验，热焊盘的是GND，粗线的是VCC，另外两个可能是TX/RX，然后接上。Putty打开串口，打开光猫，出来了期待的文字，一脸果然如此的神情浮现在楼主稚嫩而精致的小脸上（窜线了。然后……然而……等到画面停止跳动，光猫完全启动，发现怎么按回车或是ESC都不能弹出登录界面？难不成线没接好，再重启，然后不断的按ESC，终于我进入了一个叫UBOOT的界面（就是小米手机刷机那个FASTBOOT，哦不对），反正就是用来引导系统启动，并且提供了一些基础的功能比如刷机，升级，重置之类的功能。然后我稍微尝试了一下（其实比较久，可以通过TFTP更新固件，然而手头没有合法的固件，貌似需要CRC32之类的校验合法性，所以刷不进。并且虽然提供了ls命令，但无法进目录里查看，只能查看根目录，其他的话基本都是内存读写NAND FLASH（闪存）读写之类，没有对文件系统结构具体的地址进行展示，就算是能读写NAND但不知道地址，胡乱写入只会让光猫变砖，变砖后虽然可以换新猫，但有拆卸过的痕迹怕是到时候需要好好解释（狡辩）一番的了。此方法就此告罢。
关于ZXHN F450 3.0的漏洞，应该是权限不明确，WEB SERVER运行在root权限下导致的，同样的漏洞在华为的机器上却没有。因为看过华为的机器，对权限设置的非常的严谨，并且在登录认证上也很复杂，密码输入超过次数后都会被锁定，并且无法修改disable属性来强制的提交。中兴的机器，只能说一般。但是TTL、Telnet等都彻底阉割干净了，所以很少有可以利用的漏洞，目前作者就发现这个唯一一个可以利用的漏洞。其本上全球首创。对于某信需要修正这个漏洞也是很容易的，直接做个路径匹配，轻轻松松的就解决了。但个人来说还是（不）希望某信修正的，这样的话可以多学习一些知识，写出更流弊的破文