移动GS3101光猫桥接设置教程与一些零碎的联想

viploser

[ 本帖最后由 viploser 于 2020-12-6 02:11 编辑 ]\n\n


最近接触到了中国移动的宽带，光纤入户、核心设备是一个调制解调器和路由器合一的光猫，装机工作人员拒绝进行桥接设置、也拒绝提供PPPoE的拨号账号和密码，理由是“移动的光猫是自动联网的智能设备”，这句话听完就知道，这个工作人员，要么是懒，要么是坏。但是大家只要用过类似光猫设备的应该都知道，这个内置的路由，实在是没法用啊，弱点箱的门一关，就没信号了。自己的路由器只能做二级路由，和光猫自己的2.4GHz和Wi-Fi共享带宽，实在是很不爽啊！然后就花了点时间研究了一下这个东西，找到了一个权限bug，不仅拿到了PPPoE账号密码、修改了路由器桥接拨号，也推测了一下移动的鉴权模式。


光猫上明确提供的信息有三个，一个是web端的账号密码，一个是路由地址，一个是Wi-Fi的账号密码。用光猫提供的账号密码登陆web管理页面，发现就是一个查看模式，什么都改不了（最多改一改Wi-Fi的SSID和密码，有什么用啊！）。这个时候我第一反应是看看有没有超级管理员密码存在（我自己是用电信宽带的，电信的光猫有一个通用的管理员账户，非常舒服，之后再说），搜了一下，找到了一组广泛传播的“CMCCadmin”-“aDm8H%MdA”和“admin”-“Cmcc10086#”，尝试登陆失败。我就猜到移动非常不希望用户管理光猫后台，这个后台密码是非唯一的，甚至是设备间独立的。
然后就想到了telnet端，如果能拿下telnet的管理员，权限已经相当于root了，是连web端的管理密码都可以重置的。不过我也知道，这条路不简单，telnet管理员密码应该更难找吧。神奇的是——这个密码在网上是能找到的，"admin"-"s2@We3%Dc#"，但是提供这个密码的网页并没有明确指出对应的设备型号。既然都走到这一步了，当然要试试，结果，telnet根本找不到设备，这时候有点慌了，移动如果把telnet关掉了的话，光猫彻底是黑盒了。
我尝试扫了一下光猫的端口，也发现23端口并没有打开，这时候基本心已经凉了。然后我再次登陆了web端，企图发现之前忽略的地方，或者是热点按键（就是没有字或者图但是会让鼠标变成小手提示有链接的地方），依旧没有。这时候已经准备放弃了，收拾各种窗口的时候无意中又执行了查看端口的指令，这时候发现，23端口竟然是打开的。我估计，web端登陆后telnet才会开启。过程中我也我尝试着搜索了一下设备型号的手册，和移动之前老型号光猫的设备手册，手册没有找到，但是找到老设备会有一个http://IP/cgi/getGateWay.cgi的状态指示，提示telnet端入口是否被打开。这款光猫的web登陆页面地址是http://192.168.1.1/cgi-bin/index2.asp，我就尝试了一下http://192.168.1.1/cgi-bin/getGateWay.cgi这个地址，这个地址打开后会提示Family GateWay Yes/No，估计就是telnet的开关提示了吧。
这时候我从cmd尝试telnet 192.168.1.1，能确定telnet端已经打开了，提示tc login，我尝试了搜到的"admin"-"s2@We3%Dc#"，出现了#，成功！自此，我竟然拿到了这个光猫的telnet权限。
后面应该就不难了，既然已经有了telnet管理员级别的权限，可以参考电信光猫或者移动CM113-Z光猫的解决方案，尝试找到文件结构和控制文件的文件名。尝试是否有/etc目录、/tmp或者/temp目录、甚至是/usr目录（类似uxix吧），控制文件名估计是cgifile.cfg、cgi.cfg、control.cfg、ctrolfile.cfg、romfile.cfg一类的，猜测和搜索过程我不再赘述，结果是/tmp/ctromfile.cfg。后面的就是cat和grep命令了。


上面的都是过程，操作的话基本如下。

0、光猫只接光纤和电源，电脑连光猫发出的Wi-Fi。
1、访问http://192.168.1.1，用光猫反面的用户名密码登陆，保持这个页面不关闭。
2、访问http://192.168.1.1/cgi-bin/getGateWay.cgi，如果第二行提示Yes进行下一步，如果提示No换浏览器或者换有线连接。
3、打开命令提示符cmd，输入telnet 192.168.1.1，用户名admin，密码s2@We3%Dc#。
4、输入cd /tmp。（确实可以在下面一直cat /tmp/ctromfile.cfg，但你真的确定可以分得清斜杠 反斜杠 竖线 中文字符竖线这些符号么）
5、输入cat ctromfile.cfg | grep 'user'，返回值第一行<Entry0 Active="Yes" username="XXX"，这里的XXX就是超级管理员用户名。
6、输入cat ctromfile.cfg | grep 'XXX'，这个XXX是第6步得到的超级管理员用户名，返回值第一行<Entry0 Active="Yes" username="XXX"，第二行web_passwd="UUU" display_mask="FF FF FF FF EF DF FF FF FF"，这里的UUU就是超级管理员密码。
7、输入cat ctromfile.cfg | grep 'PPManualStatus='，返回值USERNAME="WWW" PASSWORD="ZZZ" PPPManualStatus="N/A"，这里WWW是PPPoE账号，ZZZ是PPPoE密码。
8、重新访问http://192.168.1.1，用超级管理员账号和密码登陆。在网络——宽带设置页面，“连接名称”的下拉菜单选在x_INTERNET_R_VID_y，这里的x和y是因人而异的，主要就是选择INTERNET后面接R的。这一项改好后第二项的“模式”菜单被激活，下拉菜单选择Bridge（缺省设置是Router）。
9、在网络——WLAN2.4G网络配置页面关闭光猫自带的Wi-Fi。

至此，光猫的破解和配置完成。下面就是路由器设置了。路由器设置为PPPoE模式，账号和密码在第7步已经得到。


过程中的一些其他发现和联想。
在搜索光猫用户名的时候，会发现三个用户，一个超级管理员账户（绝大部分是CMCCAdmin，但是也有不同的，所以我不推荐使用cat ctromfile.cfg | grep 'CMCCAdmin'的命令），一个user账户（光猫背后印的那个用户名密码），还有另一个userN账户（N是一个数字，多数是3，也有的是9）。这么推测的话，装机工作人员也并没有超级管理员账户的密码，而是用过userN完成光猫配置的（登陆后发现userN是一个管理员账户，但是不是超级管理员）。也就是说移动公司层面或者说更高级别的技术层面并不希望装机工作人员知晓超级管理员密码。同时，PPPoE的账号一般都是绑定的手机号，而不是联通或者电信传统的“区号-电话模式”或者“IP-数字”模式。
我们知道，移动自己是没有独立光纤网络的，基本多是租借的电信联通或者铁塔的网络资源。移动自己的核心网络是基于基站的移动互联模式。
而且，移动的光纤宽带基本都是大套餐的赠送，或者是非常廉价的收费，也就是完全和移动套餐（移动手机号）绑定。
由以上四点，我个人推测（我并不认识移动公司员工，只是大胆猜测，或许会打脸）移动光纤宽带的鉴权模式是一种类似于“一号双终端”的模式，在这个猜想的前提下，光猫的超级管理员密码+设备串号+光纤端口就可以构成一个足够强度的鉴定项目。在最传统的A3算法GSM身份鉴权中（后续鉴权加入了IMEI等一些列参数组成了A5乃至A8算法），采用了随机数rand+符号响应sres+密钥ki/kc组成的的鉴权三参组（手机和网络HLR/AuC中各存入ki/kc，当网络随机分配rand并发给手机后，双方以rand和ki/kc分别求出sres做比较）；完全受控的设备和唯一超级管理员密钥是否也构成了鉴权参数，充当了类似于ki/kc乃至IMEI或者PIN/PUK的角色。移动的光猫是移动子公司出品的，而不是华为、中兴这样的传统优势企业OEM的，我相信此中有此方面的考量。（吉比特GS3101光猫生产商伟中移杭州信息技术有限公司，其唯一股东为中国移动通信有限公司）。
再多想一点，中国移动在eSIM类一号双终端领域一直踯躅不前，是否就是鉴权领域暂时无法轻易解决的问题所致（eSIM和光纤宽带在鉴权层面的数据库键值占用冲突？）。


对于网络服务的联想。
再啰嗦一点，这个移动宽带不是我的日常网络，我自己用的是电信200M光纤+非固定公网IP。
这次接触移动宽带是一个朋友和我说网不好用，300M的宽带刷抖音都觉得卡，我出了现场发现了移动非常奇特的宽带安装方法，10086方面和光猫生产商的400客服方面都拒绝提供任何技术支持，统一口径为“移动的光猫是自动联网的智能设备”，我才开始的折腾和研究，过程站在了很多巨人头顶（已经不是肩膀了）。当然网络不好不单纯因为二级路由模式，但至少会有影响。
我和中国移动产生过很多次冲突，最大的一次是乱加合约，我直接投诉到了国家投诉受理办公室，经历了国家投诉受理办公室——工信部——省通信管理局——移动省公司——移动市公司长达月余的拉锯，而且移动方面以“客服已解决我认可”为理由死不认错，在省通信管理局面前完全否认乱加合约事实。它以为控制了手机号、控制了以手机号为纽带的社交就可以为所欲为了吧。当然我已经携号转网走了，而且估计到我换工作结束正式入职，那个号我就销掉了。现在真正的核心社交纽带是中年人的微信和青年人的QQ、还有打工人的钉钉和企业微信，手机号，又有什么不能换的呢？
至于绑定在各种账号乃至银行里的手机号，我有先见之明，是一张5元月租的卡，日常不打任何电话，只接来自银行信用卡中心的认证电话，其余一概不接。这个验证码号我用了4年，其他的号，我基本6-12个月不等换一次，日常洗通讯录，至于升学、迁徙、换工作，是必然要换手机号的。真正核心圈的朋友就那么不到15个人而已，打个电话，真的很难么。
每走一段，总要整理行囊，轻装前行；社交圈又何尝不是呢？



以上。
viploser
https://arcice.org
UTC+8.00 2020-12-06 02:09

新空气

收藏，折腾的时候做位参考

8680765

新空气 发表于 2020-12-7 00:03
收藏，折腾的时候做位参考

电信 的 可以 通过登录普通用户，获取配置文件。里面有超级用户的密码。  改桥接一般一个客服电话 就可以改掉，顺便改成获取公网IP 的，重启光猫就生效，光猫我都是 关闭wifi功能，避免对邻居和自己的路由产生干扰。  移动宽带比较坑的是没办法 给你公网IP ，打去客服，说家用宽带没有公网IP，要商务宽带才有。

cwbaal

我也用移动的吉比特光猫，换了二次啦，每次都破解了并禁掉远程权限的，个把月就会莫明的自行重置，没办法只能找一只二手的华为光猫换上，结果稳如泰山。

Hashimoto

支持技术宅折腾，小白的话建议直接工信部投诉走起，会有态度和蔼的工作人员求着你改，或者万能的淘宝30块钱解忧愁。

另外，即使是光猫做路由器了，也有QoS吧，共享带宽这个应该是QoS来分配带宽的吧，以及你改成桥接之后就更没必要关掉Wi-Fi了，改桥接那个界面下面不是能设置端口，你把无线勾掉不就好了。

我现在就是这样（光猫只有LAN1是千兆，剩下三个都是百兆），然后Wi-Fi单纯只是用来无线管理光猫的，有时候躺床上网炸了用手机重启下光猫还是挺爽的。

自从入坑软路由，我发现路由器开一年半载都不用重启一次，稳定的雅痞，反倒是光猫，一两个月就得重启一次，不知道是卡死了还是怎样。

还有，建议帖子放点图片，大片文字有点枯燥。

Hashimoto

8680765 发表于 2020-12-7 09:31
电信 的 可以 通过登录普通用户，获取配置文件。里面有超级用户的密码。  改桥接一般一个客服电话 就可以 ...

众所周知，移动宽带是墙中墙

steven52880

高级操作，学习了！
家里的移动路由器用的是CMCCadmin的默认密码，登录了不敢弄怕炸了被家长***

steven52880

看到路由器后台有一个管理连接，一个电视连接，一个网络连接，还有一个不知道是什么的。不是很会弄，怕弄炸