Восстановление пароля к роутеру GPON ZTE ZXA10 F660

      GPON (Gigabit Passive Optical Network) – гигабитная пассивная оптическая сеть, технология построения сетей на базе оптоволоконных линий связи. На сегодняшний день она становится наиболее оптимальным средством создания широкополосных сетей мультисервисного доступа, где по одному кабелю предоставляются услуги доступа в Интернет, телефонии и телевидения с гарантированным качеством обслуживания, видеонаблюдения, охраны и т.п. Кроме прокладки оптоволоконного кабеля, на стороне абонента устанавливается модем — ONT (Optical Network Terminal), который и обеспечивает доступ абонента ко всем перечисленным выше услугам. Как правило, модем имеет встроенный модуль Wi-Fi, выполняет функции маршрутизатора с NAT, брандмауэра, интерфейса для обычных телефонных аппаратов (порты POTS Plain old telephone service) и представляет собой небольшое по размерам устройство, настройки которого выполняются через веб-интерфейс. В МГТС одним из распространенных представителей оптических терминалов является модем ZTE ZXA10 F660.

Модем ZTE ZXA10 F660


Устройство имеет интерфейсы: беспроводной сети Wi-Fi, проводной Gigabit Ethernet (4 порта), 2 телефонных порта POTS, порт USB. Последний предназначен для подключения съемного диска (флэшки), используемого для организации общего сетевого доступа средствами собственного сервера SAMBA.

В качестве программного обеспечения используется ядро Linux с набором необходимых драйверов и программ для обслуживания и управления устройством. Управление выполняется через WEB-интерфейс с обязательной авторизацией пользователя. Кроме WEB-сервера, устройство может поддерживать службы DNS, DHCP, Telnet, FTP, Samba.

Восстановление доступа к веб-интерфейсу с помощью сброса к заводским установкам.



Это самый простой способ, главным недостатком которого является необходимость восстановления пользовательских настроек беспроводной сети, правил фильтрации трафика, перенаправления портов, сетевых служб и т.п. Если имеется файл сохраненной конфигурации, то проблема решается его загрузкой в устройство после выполнения сброса. Если такого файла нет, то придется повторить настройки вручную.

Для аппаратного сброса устройства нужно нажать и удерживать в течении 10-15 секунд кнопку ” Reset” на боковой стенке модема. При вертикальной установке устройства – на верхней стенке, рядом с кнопкой WPS. Кнопка доступна через отверстие малого диаметра и для ее нажатия потребуется какой-либо тонкий стержень, например скрепка.

После сброса, веб-конфигуратор будет доступен для учетной записи с именем mgts и паролем mtsoao. Это относится к модемам МГТС, имеющими соответствующую прошивку. Для стандартной прошивки используется учетная запись с именем пользователя admin и паролем admin. Кроме пароля к веб-конфигуратору, восстанавливается пароль к серверу TELNET – имя пользователя root, пароль Zte521 . Для модемов со стандартной прошивкой - имя пользователя - root, пароль - root

Загрузить ранее сохраненную конфигурацию, можно через веб-конфигуратор - Administartion - System Management - User Configuration Management. Нужно выбрать файл сохраненной конфигурации и нажать кнопку Restore Configuration. Будут восстановлены пользовательские настройки устройства, в том числе, и пароли к учетным записям.

Извлечение паролей из файлов сохраненной конфигурации.



Если имеется файл сохраненной конфигурации, выполняемой через веб-интерфейс - Administartion - System Management - User Configuration Management. Кнопка Backup Configuration. По умолчанию файл сохраненной конфигурации имеет имя config.bin и сохраняется в паке загрузок браузера.

Большая часть содержимого файла содержит текст (большей частью в формате элементов базы данных), в том числе и пароли учетных записей в незашифрованном виде. Достаточно иметь редактор с возможностью поиска по контексту, и задача восстановления паролей решается за пару минут. Я для поиска использую Far Manager - открываем файл клавишей F4, нажимаем F7 и вводим поисковый текст - password. Первый же найденный фрагмент дает содержимое таблицы Userinfo :

< Tbl name="UserInfo" RowCount="4" >
< Row No="0" >
< DM name="ViewName" val="IGD.UserIF.UserInfo1"/ >
< DM name="Type" val="1"/ >
< DM name="Enable" val="1"/ >
< DM name="Username" val="mgts"/ >
< DM name="Password" val="PasSw0rD"/ >
< DM name="Right" val="1"/ >
< /Row >

Имя таблицы базы данных определяется значением Tbl name="UserInfo" - таблица Userinfo. Как видим, в данной таблице присутствует имя пользователя mgts и пароль PassSw0rD - это и есть учетная запись для конфигурирования устройства через веб-интерфейс. Кроме этого, стоит учесть, что это запись в таблице Userinfo под номером 0 - Row No="0". В следующей далее записи с Row No="1" хранятся настройки беспроводной сети, устанавливаемые производителем, например:

< Row No="1" >
< DM name="ViewName" val="IGD.UserIF.UserInfo2"/ >
< DM name="Type" val="1"/ >
< DM name="Enable" val="1"/ >
< DM name="Username" val="MGTS_GPON_CD14"/ >
< DM name="Password" val="295df64e"/ >
< DM name="Right" val="2"/ >



В данной записи хранится имя беспроводной сети WiFi - MGTS_GPON_CD14 и пароль к ней - 295df64e. Значение пароля наводит на мысль, что это 16-ричное число, которое может формироваться на базе MAC-адреса сетевого адаптера. И, как оказалось, так и есть – в качестве пароля по умолчанию используются 4 младших байта MAC-адреса беспроводного адаптера. Другими словами, если используются настройки беспроводной сети, установленные специалистами МГТС для данных модемов, то на взлом устройства потребуется не более 1-2 минут. По MAC-адресу определяется пароль к беспроводной сети и выполняется подключение к модему по Telnet для пользователя root. После этого, злоумышленник сможет легко вскрыть пароль к веб-конфигуратору и сервисным учетным записям. К сожалению, огромное количество пользователей МГТС GPON так и не удосужились сменить установленные по умолчанию пароли к сервисам устройств ZTE F660, подвергая свою домашнюю сеть большому риску взлома.

Дальнейший поиск в файле сохраненной конфигурации по контексту password позволит получить:

- сохраненные пароли к учетной записи, используемой специалистами МГТС для удаленного конфигурирования устройства (таблица MgtServer)

- параметры учетной записи для динамического DNS (если такой используется)

- имя пользователя и пароль для FTP-доступа (таблица FTPUser)

- номер телефона и пароль для его конфигурирования (таблица VoIPSIPLine)

- параметры учетной записи для доступа к серверу Samba (таблица SambaCfg)

Данные прочих учетных записей не содержат строки password и их поиск можно выполнить по именам таблиц:

- TelnetCfg - имя пользователя и пароль для сервера telnet

- WLANPSK - ключевые фразы (пароли к сети Wi-Fi)

Как видим, наличие файла сохраненной конфигурации позволяет легко восстановить забытые пароли к модему ZTE ZXA10 F660

Восстановление забытых паролей к модему ZTE ZXA10 F660 без файла сохраненной конфигурации.



Описанный выше способ вытаскивания паролей из файла сохраненной конфигурации (config.bin) хорош, но только при наличии такого файла. А что делать, если пользователь не удосужился сохранить конфигурацию после изменения настроек устройства? Если файла нет, то искать придется в файловой системе самого модема, подключившись к нему по протоколу telnet с именем пользователя root и паролем Zte521. Если подключение по telnet невозможно, то в качестве средства восстановления доступа к ZTE ZXA10 F660 придется использовать аппаратный сброс и настройку устройства вручную.

Сразу оговорюсь, что возможности командной строки ZTE ZXA10 F660 настолько ограниченны, что процесс поиска паролей в файлах превращается в сплошное мучение, и для того чтобы решить задачу поиска паролей в файловой системе модема, разбиваем ее на несколько частей:

- Подключаем флэшку к порту USB модема. Она понадобится для того, чтобы скопировать на нее файлы, в которых содержатся (или могут содержаться) пароли. А саму процедуру поиска будем выполнять в полноценной системе. Например, с помощью того же Far Manager

- Подключаемся по telnet к устройству и копируем файлы или каталоги на флэшку.

- Переносим флэшку на компьютер с полноценной ОС и выполняем поиск паролей ее средствами.

Подключение к устройству по telnet выполняем командой:

telnet 192.168.1.1

Вводим имя пользователя root и пароль Zte521, соблюдая строчные и заглавные буквы.

В ZTE F660 установлен пакет BusyBox - набор *NIX-утилит командной строки, используемой в качестве основного интерфейса во встраиваемых операционных системах (в модемах, смартфонах, планшетах и т.п.). Преимуществами этого набора являются малый размер и низкие требования к аппаратуре. Поэтому он встречается во множестве устройств под управлением Linux, от смартфона до телевизора с поддержкой Smart TV.


help

В ответ на введенную команду, на экране отображается список встроенных команд BusyBox:

BusyBox в модеме ZTE F660


Кроме BusyBox, в модеме используется оболочка /bin/sh и, соответственно, доступны ее встроенные команды (cat, cp и т.п.). К сожалению, в системе нет даже примитивного редактора, не поддерживаются команды постраничного вывода (less, more …) и нет средств для поиска по текстовому шаблону в файлах (grep, find …).

Для получения подсказки по конкретной команде используется формат команда –help:

cp –help - получить подсказку по команде для копирования файлов cp

Определяем, под каким именем была смонтирована флэшка с помощью команды mount без параметров.

Смонтированные устройства   ZTE F660


В данном случае флэшка – это устройство /dev/sda с точкой монтирования /mnt/usb1_1.

Список файлов и каталогов файловой системы модема можно получить по команде:

ls –l / - отобразить список файлов в длинном формате ( -l ) корневого каталога ( / ) файловой системы.

Список файлов корневого каталога файловой системы  ZTE F660


Полученный список файлов и папок корневого каталога файловой системы ZTE F660:

Var
webpages
mnt
dev
lib
temp -> var/tmp
tagparam
sys
include
usr
root
home
userconfig
proc
linuxrc -> /bin/busybox
tmp -> var/tmp
sbin
man
kmodule
etc
bin

При выводе списка в длинном формате, первая колонка содержит атрибуты, включая признак каталога – символ d (directory) в крайней левой позиции.

Если обратить внимание на имена каталогов, то можно предположить, что наибольший интерес представляет содержимое папки userconfig. Копируем ее на флэшку командой:

cp –r /userconfig/ /mnt/usb1_1/ - копировать каталог /userconfig с подкаталогами в корневой каталог флэшки.

При желании, можно скопировать все файлы и каталоги файловой системы устройства, поскольку полезная информация вполне может присутствовать в исполняемых или временных файлах, и даже в файлах журналов системы.

После копирования переносим флэшку на компьютер и выполняем поиск по контексту password способом, аналогичным тому, что был использован по отношению к файлу сохраненной конфигурации. Если воспользоваться Far Manager’ом, то можно выполнить поиск нужной строки по всем файлам, имена которых задаются шаблоном. Жмем Alt+F7, задаем шаблон для файлов - *.* - все файлы с любым расширением, и вводим строку поиска - password

Поиск паролей в файлах  ZTE F660


В итоге, через несколько минут работы, получаем следующие результаты:

- Файл \userconfig\cfg\db_user_cfg.xml - содержит те же данные учетных записей, что и рассмотренный выше файл сохраненной конфигурации config.bin

- Может присутствовать файл \userconfig\cfg\db_backup_cfg.xml в котором также имеются данные учетных записей, аналогично содержимому файла сохраненной конфигурации config.bin

Для восстановления паролей используются данные тех же таблиц, которые были приведены выше.

Кроме того, в некоторых файлах содержится полезная информация:

- файл \var\secrtlx - пароль к сети Wi-fi, плюс параметры WPS, в том числе и PIN-код для подключения к беспроводной сети.

- файл /etc/hostapd.mssid_sample - информация о беспроводной сети и пин-код к WPS.


Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой "Поделиться"











В начало страницы     |     На главную страницу сайта

 



Яндекс.Метрика