转贴自宽带技术网,原文章好像已经被删了

适用范围:电信光宽带用户,光猫型号天邑TEWA-300AI(我是武汉电信天邑TEWA-300EA,同样破解成功)。

1、telecomadmin密码

1)打开路由器的web设置

一般是192.168.1.1,用路由器背后的用户名useradmin和密码登录。

访问

http://192.168.1.1/backupsettings.conf

会下载这个文件。
用记事本或者editplus或者notepad++打开,在这个位置的就是密码:


        fucktelecom

2)点击刚刚登录的web界面的右侧,有个>>符号,退出当前登录。

3)使用telecomadmin和刚刚看到的密码,登录进去。

2、先说远程管理(这个是破解终端数等限制的关键)

1)去掉远程控制的链路TR069!

进“网络”-》“宽带设置”页面,删除连接名称叫做TR069的。一般人可能删不掉。因为点“删除”不会有反应。
用chrome或者firefox,右键审查元素(Inspect Element),鼠标点击inspector窗口任意位置,ctrl+f,搜索“删除”,会自动定位到删除按钮所在的行。
不要再按钮上面点,不会有右键。在它旁边的空白处点击即可。找到的代码大概是这个样子的:


搞过html的人大约知道这个disabled的作用,随便将其改动或者删除,都可以让这个禁用失效,变成可以点击。

有人担心TR069删除后异常。

放心哈,百科一下TR069多作用你就明白了。随便删。

2)去掉远程上报相关(好像这个我的可以直接关闭)

“网络”-》“远程管理”:

ACS URL改成https://127.0.0.1或者其他任意无法访问的ip,下面的用户名密码随便输入。

TR-069客户端使用的广域网(WAN)接口这个选项可以使用any_wan,或者直接选lan,无所谓。

在删除TR069连接之前这里有个epon0.1的东东。

下面的中间件服务器地址也改成127.0.0.0或者127.0.0.1,原理同上。

保存。如果无法保存,参见“删除”按钮的处理。

3、无线设置:默认只有个SSID1的设置选项。(这个没啥用,还是自己搞千兆无线路由器吧)

1)常规参数:

https://192.168.1.1/wlcfg_ct.html

从“网络”-》“WLAN配置”进入。

一般情况下看不到这个地址,因为这个用了iframe的。

在这个链接上,点右键new tab打开,后面有妙用。

在这个WLAN配置界面,可以改各种参数。TEWA-300AI这看起来是11n的wifi。

搞完后记得“保存/应用”。

在保存的时候,其实可以看到浏览器的跳转地址。有了这个地址,哈哈,想搞啥都可以。

这个地址会一闪而过。在点了“保存/应用”后,立马点击stop(叉叉按钮),停止浏览器的动作。

然后复制这个地址,形如下面:

http://192.168.1.1/wlcfg_ct.wl?wlEnbl=1&wlHide=0&wlAPIsolation=0&wlSsid=FIFO-iTV&wlDisableWme=0&wlEnableWmf=1&wlChannel=0&wlNmode=auto&wlNReqd=0&wlBasicRate=default&wlFrgThrshld=2346&wlRtsThrshld=2347&wlDtmIntvl=1&wlBcnIntvl=100&wlGlobalMaxAssoc=16&wlCsScanTimer=0&wlFrameBurst=on&wlBand=2&wlMCastRate=0&wlAfterBurnerEn=off&wlTxPwrPcnt=100&wlRegMode=0&wlNBwCap=2&wlNCtrlsb=0&wlNProtection=auto&wlNMcsidx=-1&wlWme=1&wlWmeNoAck=1&wlWmeApsd=1&sessionKey=1319346350

注意这个地址,必须在一开始在new tab中打开才能看到,iframe下看不到这些信息的。

然后,分析下,

https://192.168.1.1/wlcfg_ct.wl
    ?wlEnbl=1 //启用这个ssid
    &wlHide=0 // 是否隐藏ssid
    &wlAPIsolation=0 //不懂
    &wlSsid=ChinaNet-FIFO // ssid1的ssid名称,可以在这这里改成你想要的任何。也可以用后面的方法改。
    &wlDisableWme=0 // wme 禁用,
    &wlEnableWmf=1  // wmf 启用,如下不再一一详解,其实这些就是刚那个页面你能看到的
    &wlEnableWmf=1  // wmf 启用,如下不再一一详解,其实这些就是刚那个页面你能看到的
    &wlChannel=0
    &wlNmode=auto
     &wlNReqd=0
    &wlBasicRate=default
    &wlFrgThrshld=2346
    &wlRtsThrshld=2347
    &wlDtmIntvl=1
    &wlBcnIntvl=100
    &wlGlobalMaxAssoc=16
    &wlCsScanTimer=0
    &wlFrameBurst=on
    &wlBand=2
    &wlMCastRate=0
    &wlAfterBurnerEn=off
    &wlTxPwrPcnt=100
    &wlRegMode=0
    &wlNBwCap=2
    &wlNCtrlsb=0
    &wlNProtection=auto
    &wlNMcsidx=-1
    &wlWme=1
    &wlWmeNoAck=1
    &wlWmeApsd=1
    &sessionKey=1572700847 // 这个很关键,后面会说如何自己贴一个有效的sessionKey。否则直接粘贴到地址栏会提示sessionKey无效。

其实上面有个参数很重要,但是没有显示。

wlSsidIdx=1

这个是指四个ssid的索引值,看过代码的人大约知道,这个是从0到3,表示1-4。

这个也让开启其他隐藏的ssid2/ssid3/ssid4变成可能。

即,将wlSsidIdx=?改成对应的数字index,然后改为不同的ssid名称,即可启用。

这是一种渠道。

话说回来,这个sessionKey,在

https://192.168.1.1/wlcfg_ct.html

这个页面,

右键源代码,或者直接inspect,搜索sessionKey,看到这样的就是了:

var enable_attr = '';
    var SSID_attr = '';
    var sessionKey='1114016321';

然后把上面的参数调整好以后,把sessionKey=后面的,搞成这个数字串就可以保存了。

否则,提示session key invalid.

2)安全参数

点最下头的“高级”按钮,可以进入密码设置页面。

如果上面实在new tab打开的这个链接,则地址栏是:

 https://192.168.1.1/wlsecurity.html

在这里可以改SSID为ChinaNet-xxx,只能动后面(后面有办法变成其他)。

在选择SSID的地方,你可以看到要给select对象(html dom element),但是没法改。

这个同“删除”按钮一样的操作,去掉disabled属性: