突破电信限制路由器(RG100A-BA)的功能


    通过网络上搜索得知电信宽带赠送的无线路由器是有一个一个隐藏的超级管理员帐号,这个帐号对应的权限是许多非常实用的隐藏功能,本人试了下网上的默认密码nE7jA%5m,对我的路由根本不能用,而且网络上也并没有关路由的破解方法(拆机的除外)。在这里我将破解路由的方法跟大家分享下,这里我使用的路由型号为RG100A-BA,不是这个型号的也建议你们看看,我估计电信无线路由的破解思路都是差不多的。
    首先,在破解你的路由前果断的把电话线拔了,因为电信路由默认设置里有一项是每隔一段时间上报你路由的设置,并将路由的设置与服务器同步,而且网上有人说电信发现你在破解的话会封你的路由器,所以为了安全起见,把电话线拔了好点。
    下面使用电信提供给你的用户帐号进入路由器(这里我的路由的IP地址为http://192.168.1.1),帐号一般为useradmin。进入之后我们打开http://192.168.1.1/backupsettings.conf这个链接,这个链接指向的就是路由器的配置文件,当你打开他后,浏览器默认会下载这个文件,如果你使用的是IE的话,或许会提示无法获取此文件,这时你只需使用下载工具,用下载工具下载上面的链接,下载完后使用记事本打开这个文件,搜索password,找到两个password夹着的那串字符(从头开始找,第一个就是),那个就是密码,我的是telecomadminXXXXX,这个就是超管的密码了,帐号默认为telecomadmin。用这个帐号密码登陆后转到远程控制页面,把远程控制服务器地址改掉,随便改成一个不存在的网址就可以了。不过我的路由器里修改完没有发现保存按钮,其实这个是因为电信将页面上的某些按钮隐藏掉了,我们只需打开远程控制的原网页修改即可,网址为:http://192.168.1.1/tr69cfg.html。
    下面为了防止电信再次改回来,我们需要将超管和普通用户的密码改掉(或许电信也会使用这种方法获得超管的密码,为了保险起见),普通用户密码可以直接在路由器用户管理里修改。而超管的密码需要在配置文件中修改,修改方法可以使用超管账号登陆,找到USB备份,插入U盘到路由器上,将配置文件配份下来,打开搜索超管的密码,搜索到后替换成你想要更改的密码就可以了。然后通过备份页的恢复配置,就更改完成了超管密码了。(我的路由器中备份出来的配置文件是经过加密了的,如果你会解密的话就在好不过了,解密配置文件,修改配置,最后一定要加密才能恢复。不过还有一个更简单的方法,就是直接修改刚开始下载下来的backupsettings.conf文件,这个就是正在使用的配置文件,直接将里面的原密码替换掉,就可以起到更改密码的作用,不过我路由器中上传的页面依旧被电信隐藏掉了,需要打开隐藏页面:http://192.168.1.1/updatesettings.html就可以上传了。)
    修改完后就应该已经脱离了电信的魔爪了,除非电信偷偷在你的路由中安装了一个隐藏的后门。仔细看看,这个路由里的功能还不少喃,大家在修改前请记住一点,一定得找个记事本将原版的数据记录下来,否则修改错了,连不上网就悲剧了。
    写到这里,估计大家都会有想问:我,你是怎么找到配置文件的地址,怎么找到隐藏页面的喃?呵呵下面开始讲解破解的思路:
    首先查看登陆页面源码,看看源码中是否含有超管密码,在我路由的登陆页面中并没有密码。下面登陆useradmin帐号,继续查看源码,在源码中我发现一处地方爆出了超管的用户名为telecomadmin,看来电信没有更改超管帐号,但是密码在源码中并没有提到。不过在切换不同页面时发现网页的网址一直为http://192.168.1.1/main.html,这就表示所有查看到的页面都是通过main.html载入的,所看到并不是原页面,也就是说main.html只是一个框架而已。下面找到所有原页面打开看看,找原页面的地址只需右击main上的按钮选择属性,里面写有页面源地址。不过打开后发现所有内容跟原来从main中看到的一样,这就代表main并没有过滤掉网页的信息,但是在寻找过程中发现,有部分网页地址前面都有一个ct,我们试试将ct去掉后在访问网页看看,果然,在设备信息页面发现了与main不同的地方,多出了上行速率、下行速率,板卡ID等等信息,看来没有找错,由此也说明电信并没有禁止useradmin用户访问隐藏页面。不过找到了隐藏页面后还是没有找到超管密码,怎么办喃?
    不知道大家有没有注意,在登陆帐号时,提交登陆的网址为http://192.168.1.1/login.html?username=useradmin&password=XXXXX,这个是一个典型动态页面的提交方式,也就是说超管的帐号密码是存储在数据库里的,在网站源码中是不可能找到的。刚开始的时候我也没注意到,知道网页提示我登陆过期,请重新登陆,然后我使用opera登陆的时候卡在这个页面了,这才发现它是使用数据的。
    既然是使用数据库,我们开始试试能否将数据库下载下来,以此得到超管的密码,既然是向数据库提交数据的话,那肯定是使用抓包工具获得数据提交地址喽,抓完包后发现,提交的地址为http://192.168.1.1/backupsettings.conf看来这个路由使用的不是数据库文件。下面的将他输入到浏览器中下载它(记住得登陆后才能下载)下载以及获得密码的方法上面写过了,这里就不提了。
    下面使用超管帐号登陆,登陆的时候再次抓个包看看,你会发现很多惊喜。数据包中将所有隐藏页面的地址都显示出来呦!至此路由的破解就此完成了。
    在这里为了方便大家, 提供一些路由器RG100A-BA可能会用到的隐藏页面地址:
    点击收起导入配置文件位置http://192.168.1.1/updatesettings.html
    关闭远控页面:http://192.168.1.1/tr69cfg.html
    功能选择页面:http://192.168.1.1/scsrvcntr.cmd?action=view
    配置文件地址:http://192.168.1.1/backupsettings.conf
    ATM PVC配置:http://192.168.1.1/cfgatm.html
    载入证书页面:http://192.168.1.1/certloadsigned.html
    导入CA证书:http://192.168.1.1/certimport.html
    创建新证书请求:http://192.168.1.1/certadd.html
    ADSL BER测试启动:http://192.168.1.1/berstart.html
    ADSL BER测试结果:http://192.168.1.1/berstop.html
    WAN服务配置向导:http://192.168.1.1/wansrvc.html
    WAN统计数据报表:http://192.168.1.1/statswan.html
    接入时间限制:http://192.168.1.1/todmngrview.html
    接口分组:http://192.168.1.1/portmap.html