Claves GPON, SIP y acceso al router ZXHN ZTE F680

Hola tengo la versión HW V4.0, SW ZTEGF6804P1T27

Confirmo que en mi caso la vulnerabilidad de samba ya no funciona. En cuanto al serie, cuando te conectas al rato se deshabilita. Por ahora he descubierto que nada más arrancar puedes parar el bootloader pulsando cualquier tecla:

Código:
...

...

Enable Backup PSI [0|1]           : 0

System Log Size (0-256) KBytes    : 0

Auxillary File System Size Percent: 0

Main Thread Number [0|1]          : 0

MC memory allocation (MB)          : 4

TM memory allocation (MB)          : 20



*** Press any key to stop auto run (1 seconds) ***

Auto run second count down: 111

Creating CPU ring for queue number 0 with 32 packets descriptor=0x80671a84

Done initializing Ring 0 Base=0xa220f720K End=0xa220f920K calculated entries= 32 RDD Base=0x0220f720K descriptor=0x80671a84

Open PHY 1 on MAC 0 : link state = Down



Open PHY 2 on MAC 1 : link state = Down



Open PHY 3 on MAC 2 : link state = Down



Open PHY 4 on MAC 3 : link state = Down



CFE>

web info: Waiting for connection on socket 0.[J


aparece "CFE>" que es la terminal del bootloader. Puedes hacer help como en uboot para ver los comandos y activar el serie con "serial open" y luego le haces un reset:

Código:
CFE>
CFE> help
Available commands:

dn                  Dump NAND contents along with spare area
phy                 Set memory or registers.
sm                  Set memory or registers.
dm                  Dump memory or registers.
serial              serial <open/close> in the cfe
downver             Download and flash images in ZTE ver
w                   Write the whole image start from beginning of the flash
e                   Erase NAND flash
ws                  Write whole image (priviously loaded by kermit) to flash .
r                   Run program from flash image or from host depend on [f/h] flag
p                   Print boot line and board parameter info
c                   Change booline parameters
i                   Erase persistent storage data
a                   Change board AFE ID
b                   Change board parameters
testddr             Test ddr chip
reset               Reset the board
pmdio               Pseudo MDIO access for external switches.
spi                 Legacy SPI access of external switch.
force               override chipid check for images.
help                Obtain help for CFE commands

For more information about a command, enter 'help command-name'
*** command status = 0
CFE>
CFE> serial open
Write Success SerialEnable=1
*** command status = 0
CFE>
CFE> reset

Resetting board in 0 seconds...ÿHELO

Y ya booteo pero tengo login incorrect con root/root así que no puedo acceder a la consola del kernel xD
También he probado el telnet, que está habilitado pero no funciona la mítica root/Zte521

Estoy un poco enrocado porque el servidor web tiene también capado cargar un firmware previo:
1602237691287.png


Como véis, ha desaparecido la pestaña de poner un back-up. He llamado a los de Pepephone, que como muchas operadoras no quieren proporcionarme mis datos... Una pena... para ellos, porque con esto así voy a tardar poco en cambiarme de compañía :)
 
Última edición:
Hola tengo la versión HW V4.0, SW ZTEGF6804P1T27

Confirmo que en mi caso la vulnerabilidad de samba ya no funciona. En cuanto al serie, cuando te conectas al rato se deshabilita. Por ahora he descubierto que nada más arrancar puedes parar el bootloader pulsando cualquier tecla:

Código:
...

...

Enable Backup PSI [0|1]           : 0

System Log Size (0-256) KBytes    : 0

Auxillary File System Size Percent: 0

Main Thread Number [0|1]          : 0

MC memory allocation (MB)          : 4

TM memory allocation (MB)          : 20



*** Press any key to stop auto run (1 seconds) ***

Auto run second count down: 111

Creating CPU ring for queue number 0 with 32 packets descriptor=0x80671a84

Done initializing Ring 0 Base=0xa220f720K End=0xa220f920K calculated entries= 32 RDD Base=0x0220f720K descriptor=0x80671a84

Open PHY 1 on MAC 0 : link state = Down



Open PHY 2 on MAC 1 : link state = Down



Open PHY 3 on MAC 2 : link state = Down



Open PHY 4 on MAC 3 : link state = Down



CFE>

web info: Waiting for connection on socket 0.[J


aparece "CFE>" que es la terminal del bootloader. Puedes hacer help como en uboot para ver los comandos y activar el serie con "serial open" y luego le haces un reset:

Código:
CFE>
CFE> help
Available commands:

dn                  Dump NAND contents along with spare area
phy                 Set memory or registers.
sm                  Set memory or registers.
dm                  Dump memory or registers.
serial              serial <open/close> in the cfe
downver             Download and flash images in ZTE ver
w                   Write the whole image start from beginning of the flash
e                   Erase NAND flash
ws                  Write whole image (priviously loaded by kermit) to flash .
r                   Run program from flash image or from host depend on [f/h] flag
p                   Print boot line and board parameter info
c                   Change booline parameters
i                   Erase persistent storage data
a                   Change board AFE ID
b                   Change board parameters
testddr             Test ddr chip
reset               Reset the board
pmdio               Pseudo MDIO access for external switches.
spi                 Legacy SPI access of external switch.
force               override chipid check for images.
help                Obtain help for CFE commands

For more information about a command, enter 'help command-name'
*** command status = 0
CFE>
CFE> serial open
Write Success SerialEnable=1
*** command status = 0
CFE>
CFE> reset

Resetting board in 0 seconds...ÿHELO

Y ya booteo pero tengo login incorrect con root/root así que no puedo acceder a la consola del kernel xD
También he probado el telnet, que está habilitado pero no funciona la mítica root/Zte521

Estoy un poco enrocado porque el servidor web tiene también capado cargar un firmware previo:
Ver el adjunto 73195

Como véis, ha desaparecido la pestaña de poner un back-up. He llamado a los de Pepephone, que como muchas operadoras no quieren proporcionarme mis datos... Una pena... para ellos, porque con esto así voy a tardar poco en cambiarme de compañía :)

Yo tengo la misma versión de HW y SW, y tampoco he conseguido mucho. Lo que es interesante es que conectandome al otro puerto de serie puedo entrar con el usuario "qantenna", que no tiene muchos permisos... ¿hay novidades sobre este tema?
 
Los que os estáis conectando al puerto serie y os sale el usuario "qantenna", no os estáis conectando al lugar correcto. Os estáis conectando directamente a la interfaz del chip Wi-Fi y, desde ahí no podréis hacer nada.

En algunos modelos, el puerto serie correcto es el que no tiene los pines soldados. Es decir, que vais a tener que utilizar estaño y un soldador bien hermoso.
 
Los que os estáis conectando al puerto serie y os sale el usuario "qantenna", no os estáis conectando al lugar correcto. Os estáis conectando directamente a la interfaz del chip Wi-Fi y, desde ahí no podréis hacer nada.

En algunos modelos, el puerto serie correcto es el que no tiene los pines soldados. Es decir, que vais a tener que utilizar estaño y un soldador bien hermoso.

Entonces este método aún funciona con los firmwares nuevos ???
Gracias y saludos


Enviado desde mi iPhone utilizando Tapatalk
 
Los que os estáis conectando al puerto serie y os sale el usuario "qantenna", no os estáis conectando al lugar correcto. Os estáis conectando directamente a la interfaz del chip Wi-Fi y, desde ahí no podréis hacer nada.

En algunos modelos, el puerto serie correcto es el que no tiene los pines soldados. Es decir, que vais a tener que utilizar estaño y un soldador bien hermoso.

Entonces este método aún funciona con los firmwares nuevos ???
Gracias y saludos


Enviado desde mi iPhone utilizando Tapatalk
 
Entonces este método aún funciona con los firmwares nuevos ???
Gracias y saludos


Enviado desde mi iPhone utilizando Tapatalk

No, no funciona. Para eso suelen hacer actualizaciones de firmware y revisiones de hardware, para corregir exploits y vulnerabilidades.
 
Bueno, pues tengo lo siguiente:
Hardware Version: V4.0
Software Version: ZTEGF6804P1T13
Boot Loader Version: V4.0.10

No he conseguido que se ponga en modo bridge, sigue pillando ip pública con el método cambiar por wan en dhcp port service de la lan1
He sacado por el método Samba el archivo Gpondatos pero los datos que necesito vienen con asteriscos
He sacado también por samba el volcado de la ram, archivo de casi 240 megas y viene perfectamente encriptado en hexadecimas y al abrirlo con sublime en Western (ISO 8859-1), es un galimatias.

Conclusión, nada funciona con esta versión o qué?. :_(
 
Hola de nuevo!

Tengo un ZTE F680 V4 con firm ZTEGF6804P1T27 y os aseguro que ya no funciona el bug Samba. Lo he probado en un V2 y el pincho usb / bug funciona a las mil maravillas pero en el V4 no; da un error de "Acceso denegado". Puede que lo hayan parcheado o el fichero de configuración samba este en otro path diferente.

He ido a acceder por el puerto serie USB/TTL; y al principio me salia la información del boot y luego se silenciaba la salida. He visto que en el CFE se puede habilitar el puerto serie no solo para el boot, sino para todo el rato (uff, menos mal).

Total que he llegado al prompt del login y ... SORPRESA!! Las contraseñas root/root y root/Zte521(esta es la que me funcionaba en la V2) no funcionan :( ¿Alguien puede echarme un cable?

Cosas que se me ocurren:
* Hacer downgrade del firmware. Se como hacerlo pero no he conseguido ninguna imagen por ahí. ¿Alguien puede pasarmelo?
* Hacer un dump de toda la flash. Estoy en ello. Mi idea es extraer el etc/shadow para ver que password le han puesto ahora.
* ¿Alguna otra sugerencia?

Saludos!!!
Hola. He visto que al final solucionaste el problema. Puedes contar cómo has hecho? Es por ir pidiendo el USB ttl para hacer lo mismo. Ya que parece que tú versión de firm/hard es la que tenemos todos los de Yoigo.
 
He guardado el config.bin en el ordenador y luego decifrado con routerpassview. Resultó un documento de 531 paginas. Por falta de experiencia decifrar este texto he cambiado la fibra a GUUK, que es la misma mierda. El lema del servicio de todos los provedores al cliente es "Lame el culo". Han prometido revelar las claves y no han hecho. Cuando voy a regresar a España voy a molestar ellos de nuevo.
 
hola a todos, seria posible configurar este router para movistar, consigo acceder al menu expandido con admin admin , pero no veo donde poner el gpon password por ningun lado
solo lo he visto en un lugar y me dice que son solo 10 numeros, cuando yo tengo unos 20

graaaaaaaaaacias
 
No, no es posible, las OLT de Movistar/O2 no son interoperables con las ONT ZTE.
perdon no le entendi , dice usted que no son compatibles la ont interna del zte, con la del hgu de movistar?, supuestamente solo se cambiaba el dato gpon y ya funcionaba no?? , o algunas no se puede??

perdon por tanta pregunta
 
perdon no le entendi , dice usted que no son compatibles la ont interna del zte, con la del hgu de movistar?, supuestamente solo se cambiaba el dato gpon y ya funcionaba no?? , o algunas no se puede??
No, no son compatibles. Cada compañía utiliza sus propias OLT y ONT's.

Existen excepciones con algunas ONT Huawei, debido a que estas son interoperables. Como la HG8240H, por ejemplo.
 
Buenas a todos, como estaís ?
Después de probar 500000 veces todos los métodos y de todo para sacar la Clave GPON y SIP, desistí y cree una incidéncia en Yoigo, como si me fuera mal el router, que tiene mucho tiempo y mucha tralla (mentira). Vino un técnico, con un router nuevo, y de paso, le pregunté y me dio la clave GPON, pero no la SIP.
He estado leeiendo, y algunas clave son distinas a otras? Es decir, la que yo tengo tiene 9 digitos, hay mas variables ? La SIP, si llamo, me la darían ? Alguien ha probado ?
 
No, no son compatibles. Cada compañía utiliza sus propias OLT y ONT's.

Existen excepciones con algunas ONT Huawei, debido a que estas son interoperables. Como la HG8240H, por ejemplo.
puff entonces tendre que venderlo, no sabia yo que algunas onts, no funciona con algunas operadoradoras, todas las que e tenido cambiandoles el numerito ese largo a funcionado siempre.gracias
 
Arriba