北京联通光猫华为HG8346R/HG8321R破解方法介绍

http://www.chinadsl.net/forum.php?mod=viewthread&tid=123349&extra=&page=1
2 s7 S! U. I$ ]7 ^7 \: J
北京联通的华为HG8346R是我接触的第一个光猫，因为2015年7月初刚刚进行了光改。原以为光纤安装完毕后就很简单，哪料到此光猫为路由模式了，客户只有普通用户权限，里面的设置就是供你看看，想加点常用的诸如端口映射、开UPnP等都是不行，PT下载就不给力了，于是决定破解。 去X宝上问了问，发现都说这个猫很难破解，只有一个人说可以，叫价80元。 本来我以前就是搞软件的，反正最近也不是很忙，求人不如求己。经过20多天的研究，终于搞定此光猫，同时还学习和掌握了较多的华为光猫的设置以及破解知识。
7 T: y' S: h6 C: b: j
6 L3 u# R4 f6 H
北京联通华为HG8346R固件基本的情况

5 p/ r' V8 D1 x4 s8 D6 e+ Z
  ( i: g1 L* p2 z/ L+ M  C/ {

固件版本为 V300R013C10S112

此猫破解的难点： 

① hw_ctree.xml 配置文件里面没有超级管理员账户，即使长按RESET恢复出厂模式后也是一样。 没有电信光猫那样恢复出厂模式后有 telecomadmin 超级管理员账户，也没有像其它地区联通光猫那样有 CUAdmin 账户。

以下摘自解码后的hw_ctree.xml配置文件： ' V" L7 x2 S5 ~2 v  @: Q2 j; B* q

-
& _' \' V  f' C" R9 {1 T/ F
. }7 E' B  l  f
  Q$ A2 C- F2 x% z9 p/ c% G/ h' m! b
可以看到web登录只有一个 user 账户，用户密码为明文，并且没有更改过。 % }* R6 X9 ]6 D. _0 O7 r

另一台光猫：
  l7 Z8 C8 B  \: V! t* |
- / S% C2 Y* J* G5 ^9 p; E


* {; L& q+ W$ H% J/ O/ U
可以看到web登录只有一个 user 账户，用户密码是用MD5＋SHA256双重加密的，这是以后一段时间华为光猫配置文件解码出来的主流了。 MD5和SHA256是不能逆向破解的，只能暴力破解。所以如果密码的明文是复杂密码的话，想破解几乎不可能。

② 配置文件解密后，其中凡是存放密码的部分仍然是密文的形式存在的。因此也无法通过解密hw_ctree.xml方式后看到诸如语音鉴权密码等重要信息。
ManagementServer Password="$1I!xxEnCH.)l'k:*fsfL72g%!$" Username="cpe" X_HW_DSCP="0" X_HW_CertPassword="$16haQJY=:U'R`cLQi}aR>2g%!$" 
ConnectionRequestPassword="$17sy(~.fgSLvGQX3$2R
' `% u) a; t- I( |6 |. S
+"> 7 t! p$ X; v+ `4 u; }7 W3 T

上面这个是与语音功能非常相关的鉴权密码部分

3 b% S8 @0 q$ }' N% k: g
破解北京联通华为HG8346R所需要的工具软件 1 X4 p) m. {: }3 g# D

① 华为光猫ONT维修使能工具 ( f2 u6 E& U7 ?  x0 T
4 n3 u* f6 m* [: E, ?9 x6 q5 j
由于北京联通华为HG8346R的固件是V300R013C10S112，因此随便在网上搜寻一下都可以找到2014年12月出的使能工具并下载（本论坛上也有，不过需要猫粮），就可以打开此光猫的Telnet。 而如果你的光猫已经是R013C10S121及以后和R015版本的固件的话，需要使用更新版本的ONT使能工具了。

② tftp32
用于备份配置文件，可以到： tftpd32.jounin.net 下载。  1 s0 |8 W5 l% f8 e# @4 I9 K9 k

③ Windows下的华为配置文件解密和加密工具 ! C& ^+ I/ }  G$ [* q6 q
. b8 ~: y0 v$ h) U- ^
这个工具可以在Windows下对华为hw_ctree.xml进行处理，可以解密解压缩成为明码的形式，同时也可以加密压缩还原为原始的形式。相当于华为光猫中的 aescrypt2 命令。 6 j( t" p6 W- d0 A9 _
  ]) l) n/ `1 d; v; [
④ su密码算号器 (R015版本不需要）

用于计算su密码，进入su_wap模式。 
' j  _. V6 X% P! z; Q
破解北京联通华为HG8346R方法
- _5 l1 n- m2 `$ j; s& d  I+ h9 n
① 使用华为光猫ONT使能工具打开Telnet
6 w, n% }9 X$ U! M
  * j/ p8 t" ^  ?" R  D9 O+ P
② 进入Telnet后 （用户名:root 密码：admin），使用backup cfg 命令备份出自己光猫的配置文件 hw_ctree.xml （配合tftp32)
: i2 ?: \3 C4 T" g$ I; P8 m( V
备份配置文件对于无损破解光猫，还原你光猫原有设置起非常重要的作用。它至少有以下几方面的用途：
  ⒈ 光猫破解完成后，将稍加修改（主要是超级用户的密码部分）的配置文件重新导入回光猫里面，使光猫恢复原先光猫里面所有的设置，因此再不用担心语音不行、ITV不行、上网不行了。 ' P# P9 e7 Q) V
  ⒉ 你要是自己换猫的时候，如果更换的也是华为基本同类型的猫的话，直接将原来的配置文件导入新猫里面去，原来猫里面的所有设置一下就在新猫里面设置好了。 , n: H1 X0 q, ?; N3 j1 h
  ⒊通过对原配置文件以密文形式存放的诸如语音鉴权密码等信息进行解密得到密码明文，即使在你更换其它厂家，比如中兴、烽火的光猫的时候，同样可以配置成功，保留原猫的所有功能。
5 h8 o' p1 C) v' o6 m
因此我个人感觉：如果自己光猫的配置文件在手，有走到哪里都不怕的赶脚啦。因此备份配置文件非常重要。 4 {; W' }% T$ ?8 q+ s# \! v
: u, d/ v, R* p7 d8 R' u
 
- m# R: ^5 J; Q4 e+ g# {
③ 得到配置文件后可以使用SU命令，然后输入su的密码提权后，通过一些命令将光猫恢复为华为界面。

- [- q8 L7 z$ D# A% G
  " s% O- s% \8 t
$ L; ?. L2 ~/ H' E! R
④ 使用hw_ctree.xml配置文件解密工具将其解码后，将其中的UserLevel="1"修改为 UserLevel="0" ，即将user用户变更为管理员权限用户   f. L% b& U* r+ L1 V



其中的Password项也可以修改为自己需要的密码。 然后再使用配置文件工具将配置文件加密压缩还原成为华为光猫里面的状态，从而便于今后导入光猫中。 ) K: B) t8 @' y* @7 \( e
' l% U; a4 p9 d8 I1 ^% s
 
5 J1 y9 |2 B/ J
其中C2为配置文件加密解密工具（命令行使用）， guo.xml 是从光猫导出的hw_ctree.xml 配置文件， 通过C2工具先解码成为 guojiemi.xml 然后用记事本修改后，再通过c2工具加密还原成为guojiami.xml文件。
2 O) A( e. H( M# t
⑤重新启动光猫后，已经恢复为华为登录界面，并且有telecomadmin超级用户权限，登录进去以后，使用配置文件导入功能将上面生成的guojiami.xml配置文件导入即可。光猫重新启动后，以前的所有设置全部恢复回来了。 8 i; O& }' [9 q% Z


 

恢复到华为界面后功能强大（同时比电信和联通界面下超级管理员的功能还多一些）。

路由和桥接可以自由选择
$ l- Y- A! F( b
2 u5 j- q8 Q: {5 J3 `- z
 

 
7 k3 E9 `; X4 l9 z/ f7 P! ^6 |
端口映射可以设置
' Y9 _! s! N0 e+ }, A+ V# g
+ R* e6 A1 b/ t- ^% ]
  2 ~0 l& {4 f( D% J+ X1 n1 l6 ?

有些人很关心的连接电脑台数的限制可以修改，也可以不启用。

 
 

* z9 C$ J3 A* T1 _2 S* O  c2 D0 R
其实经过这段时间研究后才发现，这个北京联通的华为HG8346R在破解上算是不难的，而X宝上只有很少人能够破解，说明X宝上光猫破解人的水平大部分也都一般。经过进一步深入的研究，目前可以说即使安装了最新固件版本的猫（比如R013C10S123或者R015），也有方法搞定，同时光猫的语音鉴权密码也有方法可以解码。有需要技术支持的可以PM。 5 K. q$ w0 h' K, |0 ^& x! O

新的光猫安装的是 V300R015C10S109 或 V300R015C10S111 版本的固件，用同样的方法也可以搞定。9 z

http://bbs.c114.net/thread-850082-1-1.html

http://bbs.c114.net/thread-850082-1-1.html

经过几天的摸索，现已成功搞定华为光猫，几分钟就能把移动、电信、联通定制的光猫破解成原厂三家通用，因为快，所以不多说了。
1、连上光猫看IP,有IP的，地址通常为192.168.1.1;拿不到IP的，自己改一下，通常是192.168.100.1;这个不会改就百度一下。
2、telnet光猫，帐号root,密码admin.能连上就看第3,不能连上就是23端口被封，接下来打开23端口，看后面工具使用说明。
3、telnet上光猫后，直接shell,成功接着第4,不成功说明shell又被封了，接着输入su,再接着shell,是不是出来了？
4、接着restorehwmode.sh   这个我不懂，哥的英语不及格，回车后exit,接着reset,
5、看到光猫重启了没？马上改本地IP，192.168.100.2,启动好后192.168.1.1,直接登录，帐号原厂telecomadmin,密码你懂的。
一共用了几分钟？是不是10分钟不到，我可搞了好几天才出的。


工具破23端口的，其实论坛上有多，一定要2015版本的，要不打不开。后附下载