[MANUAL]: Claves GPON, SIP y acceso al ZTE F680

Pasos para obtener la contraseña GPON mediante telnet del ONT integrado + Router ZTE F680 con el firmware v4, aprovechando el bug de Samba y realizando un volcado de la memoria RAM.

* En mi caso, el ISP es Pepephone. Mi línea no dispone de VoIP, por lo que en este post sólo hablaré de la clave GPON y no de la SIP.

Esto es un recopilatorio de todos los pasos que se encuentran disgregados en este y otros hilos de otros foros, especialmente dedicado a las personas que tengan la versión 4 del firmware. He realizado y verificado todos y cada uno de los pasos.

Requisitos:

- Un pendrive.
- Un ordenador con SO Linux (en mi caso usé una Raspberry con Raspbian).
- Un ordenador con SO Windows o un Linux con un cliente Samba instalado.
- Notepad++.

------------------------------------------------------------------------------------------

1. Formateamos el pendrive con sistema de archivos NTFS.

2. En el ordenador con Linux, enchufamos el pendrive formateado, abrimos un terminal, y nos situamos en la raíz del dispositivo (en Raspbian /media/pi/nombre_del_pen/).

3. Creamos un enlace simbólico que apuntará al fichero de configuración de Samba en el router, una vez el pendrive sea pinchado en él. Lo hacemos con el siguiente comando:

ln -s /var/samba/lib/smb.conf

4. Nos descargamos Busybox para MIPS y lo copiamos a la raíz del pendrive, renombrando el fichero con el nombre "busybox". Realizamos una segunda copia del fichero, también en la raíz del pendrive y la renombramos como "sh". Sí, dos archivos iguales, "busybox" y "sh".

* IMPORTANTE: Para que funcione en la V4, la versión de Busybox que debemos bajar es la busybox-mips (https://busybox.net/downloads/binaries/1.21.1/busybox-mips), a diferencia de la que se necesita para la V2, que es la busybox-armv7l (https://busybox.net/downloads/binaries/1.21.1/busybox-armv7l).

* Realmente sospecho que no tiene tanto que ver con la versión del ZTE, si no con su procesador, que es de arquitectura MIPS y no ARM. En el caso de los ONT + router con antenas internas de Pepephone, yo he necesitado la versión MIPS.

5. Una vez tenemos el pendrive con el enlace simbólico y los dos ficheros duplicados de busybox, procedemos a enchufarlo al puerto USB del ONT + router.

6. A través de la aplicación "Ejecutar" de Windows (tecla Windows + R) o del cliente Samba en Linux, accedemos al siguiente recurso compartido:

\\192.168.1.1

(suponiendo que esta sea la IP de vuestro router, en caso contrario, deberéis introducir la que sea.)

* IMPORTANTE: El cliente del protocolo SMB1 que utiliza este router viene capado en W10 y muchas distros de Linux, por seguridad, permitiendo sólo la utilización del protocolo SMB2.

Para activarlo en W10: Panel de Control --> Programas y características --> Activar o desactivar características de Windows --> Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS --> Cliente SMB 1.0/CIFS.

Para activarlo en Linux: Google rulez.

Se nos abrirá una nueva ventana del explorador de ficheros, que mostrará el contenido del router que la configuración de Samba que hay en el router le dice a éste que tiene que mostrar. En este caso, será una carpeta llamada "samba", en cuyo interior se encontrará otra carpeta que contiene todo lo que el router comparte mediante este servicio (lo que hay en la carpeta "/mnt" del sistema de ficheros del router), en este caso, otra carpeta con la raíz del pendrive que hemos enchufado.

7. Gracias a que en el pendrive hemos creado un enlace simbólico al fichero de configuración de Samba en el router (smb.conf), si abrimos este enlace simbólico en el "Notepad++", accederemos al contenido del fichero. Necesitaremos reemplazar su contenido por lo siguiente:

[global]
guest account = root
deadtime = 5

log level = 0

server string = Samba Server
security = share
load printers = no
workgroup = workgroup
short preserve case = yes
preserve case = yes
netbios name = smbshare
preexec = /mnt/usb1_1/busybox telnetd -b 192.168.1.1:27 -l /mnt/usb1_1/sh

[samba]

comment = samba share dir

read only = no
guest ok = yes
guest only = yes
short preserve case = yes
preserve case = yes
max connections = 3
path = /mnt

[root]

comment = samba share root
read only = no
guest ok = yes
guest only = yes
short preserve case = yes
preserve case = yes
max connections = 3
path = /

* Es posible que debamos modificar la linea que contiene la ruta de ejecución de busybox. Dependiendo del router puede variar el nombre de la carpeta en la que se monta el pendrive; en mi caso se llama "usb1_1". Podéis comprobar el nombre de la carpeta en la barra de direcciones del Explorador de Archivos en el paso 6.

Guardamos el contenido fichero una vez lo hayamos modificado.

8. Volvemos a repetir el principio del paso 6 (ejecutando \\192.168.1.1) y se nos volverá a abrir el explorador de archivos, mostrando el contenido que comparte el router, valiéndose para esto nuevamente del servicio "Samba". Como hemos cambiado el contenido de su fichero de configuración, ahora veremos dos carpetas, "samba" (la que ya veíamos la primera vez) y "root". Esto indicará que el nuevo fichero de configuración se ha leído y aplicado.

9. Gracias a la instrucción "preexec" que hemos añadido en el fichero de configuración, al volver a ejecutar "Samba" en el paso anterior, también hemos lanzado un servicio telnet, con privilegios elevados, corriendo en el puerto 27. Pues bien, bien ejecutando un "telnet" mediante la consola de comandos (previamente activando el cliente "Telnet" en "Activar o desactivar características de Windows) o mediante una conexión Putty (más rápido y sencillo), lanzamos una conexión "Telnet" a la IP 192.168.1.1, apuntando al puerto 27. Nos pedirá las credenciales ("root"/"Zte521").

10. En este punto ya podremos ejecutar comandos con privilegios elevados en el router. Si usasemos el comando "sendcmd" para intentar extraer el password del "GPON", nos devolvería asteríscos en lugar de la contraseña, por lo que este método no nos vale. En lugar de ello, debemos volcar la memoria RAM del router (donde se encuentra la contraseña cargada en texto plano) a un fichero dentro del pendrive y después analizar éste para obtener la contraseña. El volcado lo haremos con el siguiente comando:

/bin/cat /dev/mem > /mnt/usb1_1/ramf680.txt

* Tardará unos minutos y puede que veáis un error "cat: Read error: Bad address". Ignoradlo, el fichero se generará correctamente igualmente.

11. Una vez tenemos el fichero, podemos comprobar que éste es monstruoso y completamente ininteligible, así que tenemos dos métodos para encontrar la contraseña:

a. Método Nayin:

Poner en el buscador: ÿÿÿì123456789
Buscar una coincidencia que vaya seguida de otro ÿÿÿìCLAVEGPON.
Ejemplo-> ÿÿÿì123456789 ÿÿÿìCLAVEGPON

* Algunas personas dicen que son 10 dígitos/letras, en mi caso son 8.

2. Método arm41:

Desde Linux, abrimos un terminal y nos situamos en la ruta en la que esté el archivo de volcado. Después ejecutamos el siguiente comando:

tr -cd '\11\12\15\40-\176' < ramf680.txt > ramf680-2.txt

Una vez hecho esto, abrimos el archivo nuevo ("ramf680-2.txt") y buscamos una cadena de texto como esta:

X`H123456123456789CLAVEGPON1ZTEG123456T`4`|123456 123456$``9``|TIGD.GPON`

donde "CLAVEGPON" será la contraseña

---------------------------------------------------------------

Yo he introducido esta clave como SLID de un Alcatel I-010G-U y se me ha quedado fija la luz de "Connection", cuando antes de ponerla parpadeaba. Estoy a la espera de modificar el firmware de mi router neutro para que permita manejar VLANs y terminar el proceso.

---------------------------------------------------------------

Muchas gracias a todos los miembros de la comunidad que han hecho su aportación. El conocimiento que he expuesto en este post es gracias a vosotros. ;)
Hola, supongo que si me funciona el ztef680 me funcionará también la ont zte f601, me imagino que será compatible ¿verdad?
 
Yo también estoy intentando sacar el password desde su md5. Tengo usado hashcat en el pasado. Esto es lo que estoy haciendo:

1. Creamos un fichero md5.txt donde ponemos el hash a crackear
2. Listamos los dispositivos
Código:
hashcat64 -I
3. Empezamos
Código:
hashcat64.exe --session md5sip --opencl-device-type 1,2 md5.txt -m 0 --force -a 3
(Cambiar 1,2 por los dispositivos que se listaron en el paso1 o con los que quieras usar. Yo tengo una máquina poco potente,
así que uso CPU y GPU)

Si quieres salir, puedes pulsar la tecla [c]heckpoint (tarda un poco en salir) y para continuar:

Código:
hashcat64.exe --session md5sip --restore
Si tienes varios md5, puedes ponerlos todos en el fichero md5... ahorras tiempo.

Si encuentra alguno para verlo:

Código:
hashcat64.exe --session md5sip --show
Hashcat es un mundo, si alguien sabe que patrón sigue el password se puede limitar los passwords que prueba.
No hagáis caso a este post (lo borraría... pero no puedo)... el MD5 que va en la cabecera SIP es negociado con más datos además del password.

En este enlace explican como va...

https://bandaancha.eu/foros/router-neutro-minimo-debes-saber-sip-1736425

Si alguien sabe su password sip y me puede decir que tamaño tiene... se lo agradecería para limitar la búsqueda y hacer un manual.

Gracias,
 
Todo el mundo está igual con la versión 4.0. En BA tampoco dan con la solución. A unos les va y a otros no, y eso cuando a algunos consiguen que les funcione el pendrive.

Es un router que está prácticamente descatalogado.
 
Todo el mundo está igual con la versión 4.0. En BA tampoco dan con la solución. A unos les va y a otros no, y eso cuando a algunos consiguen que les funcione el pendrive.
Al principio no me funcionava lo de crear el enlace simbolico desde linux al pendrive y era porque este estava formateado a fat32, sistema de ficheros que no admite alojar enlaces simbolicos, posteriormente formatee el pendrive a ext2 pero el router era incapaz de montarlo automaticamente, me funciono (crear el enlace) cuando formatee el pendrive a ntfs.
Tengo la version 4 de este F680 con el firmware ZTEGF6804P1T18.
Y estoy siguiendo tutoriales del metodo samba con pendrive de aqui y de alli, varian bastante de uno a otro. ¿Alguien podria poner un enlace a un tutorial mas o menos "oficial"?
Mis abances hasta el momento han sido sacar el smb.conf del router en un windows y supuestamente modificarlos y guardarlos con notepad++, y digo supuestamente porque con el usuario 1234 de la administracion del router via http, cuando deshavilito samba y lo vuelvo a activar (creo que es el momento en que ejecuta las linias que empiezan por preexec) y en el windows recargo el enlace simbolico que apunta a smb.conf con el notepad++ el archivo ha vuelto a quedar restaurado en su version por defecto.
Es un router que está prácticamente descatalogado.
Puede, pero sin obtengo el password GPON estoy condenado a no poder cambiar de ont+router mientras este con el operador actual.
 
Muy bueno, luego cuento...
Pasos para obtener la contraseña GPON mediante telnet del ONT integrado + Router ZTE F680 con el firmware v4, aprovechando el bug de Samba y realizando un volcado de la memoria RAM.
He seguido los pasos de tu tutorial, y, sin ver la carpeta root en la segunda vez que pasava por el paso 6, desde linux he lanzado: telnet 192.168.1.1 27 y he logrado entrar como root (no me ha pedido ni usuario ni contraseña), en efecto, la salida de lanzar desde el router via telnet el comando: sendcmd 1 DB p GPONCFG viene con los asteriscos, pero he lanzado: /bin/cat /dev/mem > /mnt/usb1_1/ramf680.txt (como dices) y ya tengo el archivo en el pen, aunque este bolcado me ha dado un: cat: Read Error: Bad address (a medio bolcado), el archivo ramf680.txt ocupa mas de 200 mb. y el segundo archivo ramf680-2.txt mas de 20 mb. al buscar entre las cadenas de texto H123456123456789 y 1ZTEG123456T me aparecen 9 caracteres. ¿Es este mi password GPON?
 
Última edición:
Sí, pero ojo que deberían ser 10 caracteres, no 9.
Para evitar que el archivo de volcado pese tanto en destino, se podría hacer un pipe y un grep para que filtre por esa línea únicamente, sabiendo por ejemplo que vamos a encontrar la cadena 123456123456789. Así el archivo final tendría sólo las líneas que machean con ese patrón.

Saludos!
 
Gracias pokoyo.
He vuelto a crear ramf680-2.txt del original ramf680.txt por si este havia sido modificado por error mio con: tr -cd '\11\12\15\40-\176' < ramf680.txt > ramf680-2.txt, y despues, he lanzado: cat ramf680-2.txt | grep 1ZTEG123456 y me siguen saliendo 9 digitos sin contar el 1 de delante de ZTEG123456, contando el 1 si que son 10 digitos. charis.manstn en el post dice que pueden ser 8 o 10 caracteres. A mi tambien me suena raro que me salgan 9. ¿Como podria Verificarlo?
He repetido el bolcado de ram del router y lo mismo, 9 digitos.
 
Última edición:
La clave GPON no tiene porqué ser de 10 caracteres, de hecho la mía son 8 y ya la tengo configurada en otra ONT funcionando. Y contestando a la pregunta de Solomain, sí, ese es tu password. Si quieres estar seguro, puedes extraerlo con los dos métodos que puse en el tuto y comparar si coinciden, si lo hacen es 100% seguro que es tu password.
 
La clave GPON no tiene porqué ser de 10 caracteres, de hecho la mía son 8 y ya la tengo configurada en otra ONT funcionando. Y contestando a la pregunta de Solomain, sí, ese es tu password. Si quieres estar seguro, puedes extraerlo con los dos métodos que puse en el tuto y comparar si coinciden, si lo hacen es 100% seguro que es tu password.
Gracias charis.manstn.
Ya que soy root en el router ¿que mas datos puedo sacar para en el futuro poder configurar un ONT?
Y tambien ¿como activo el usuario admin de la configuracion via http?
 
Gracias pokoyo.
He vuelto a crear ramf680-2.txt del original ramf680.txt por si este havia sido modificado por error mio con: tr -cd '\11\12\15\40-\176' < ramf680.txt > ramf680-2.txt, y despues, he lanzado: cat ramf680-2.txt | grep 1ZTEG123456 y me siguen saliendo 9 digitos sin contar el 1 de delante de ZTEG123456, contando el 1 si que son 10 digitos. charis.manstn en el post dice que pueden ser 8 o 10 caracteres. A mi tambien me suena raro que me salgan 9. ¿Como podria Verificarlo?
He repetido el bolcado de ram del router y lo mismo, 9 digitos.
Si pueden ser de 8 a 10 caracteres, en ese caso no he dicho nada. Me resultaba extraño una longitud distinta, pero es verdad que en hexadecimal los idONT van de 16 a 20 caracteres, lo que viene a ser de 8 a 10 en ASCII.

No he dicho nada entonces...

Saludos!
 
Hola:
Vengo buscando info para sacar las calves SIP y he dado con este post ,lo he leido casi completo y estoy en este punto , haber si me podeis orientar:

Tengo un f680 de masmovil con version boot 4.0.10
He comprado un f680 de jazztel con version boot 2.0.10T5
tengo el ftti con cable.

1-Supongo que antes de conectarle la fibra tengo que capar las actualizaciones y no tengo claro como.

2-despues debo conectarlo a la fibra parta ver si puedo navegar y que descargue mis datos pues es de otro cliente y otra compañia.

3-Suponiendo que ya puedo navegar y hablar por telefono con el nuevo router , ya seguir los pasos para extraer la configuracion SIP que es la que ami me interesa.

Saludos y gracias.
 
buenos dias , muchas gracias por esta gran aportacion que me esta sirviendo mucho para encaminar el cambio de router ,
bien explico hasta donde he llegado a ver si me podeis ayudar
parece que tengo la clave gpon , tanto en un txt como en el otro , txt-2 coinciden en los dos , me parece un poco raro numeros y letras minusculas y alguna mayuscula 10 caracteres , no tengo ahora mismo nigun ont para poder probarlo pero diria que esta bien !

bien , lo que no consigo hacer es conectar por telnet al puerto 27 , conecction refushed , solo puedo por el 23 y root y zte521 no funciona !
alguna guia de como hacerlo para ver si consigo entrar ?

mi router es v4 , estoy encallado en telnet , que bueno si no es necesario para recopilar mas datos tampoco me interesaria en principio ,
o para configurar la nueva ONT necesitamos mas cosas?

bueno decir que he leido las 34 paginas y eso me falta un saludo que esteis todos bien y muchas gracias
 
Hola:
Vengo buscando info para sacar las calves SIP y he dado con este post ,lo he leido casi completo y estoy en este punto , haber si me podeis orientar:

Tengo un f680 de masmovil con version boot 4.0.10
He comprado un f680 de jazztel con version boot 2.0.10T5
tengo el ftti con cable.

1-Supongo que antes de conectarle la fibra tengo que capar las actualizaciones y no tengo claro como.

2-despues debo conectarlo a la fibra parta ver si puedo navegar y que descargue mis datos pues es de otro cliente y otra compañia.

3-Suponiendo que ya puedo navegar y hablar por telefono con el nuevo router , ya seguir los pasos para extraer la configuracion SIP que es la que ami me interesa.

Saludos y gracias.

Hola
Tengo ya el router donante , es de jazztel , le he conectado la fibra y he conseguido que la luz del PON deje de parpadear metiendole la contraseña , tengo una V2 con acceso por telnet y administrador , pero no me deja navegar con lo que no se sincroniza con la central y no descarga ningun dato.
Haber si me podeis ayudar , yo seguire investigando.
Saludos

EDITO:
He sacado por samba de mi V4 el volcado pero solo consigo el password del GPON que ya lo tenia y concuerda , el resto de datos SIP no los localizo.
He configurado en el V2 los datos del tr-069 MASMOVIL del post #249 y borrado el archivo flag_type del post #405 pero conecto el router a la fibra , meto la contraseña del GPON led verde fijo pero no descarga los datos del ACS .
Ya no se que mas puedo hacer...
 
Última edición:
Por si le interesa a alguien, quería aportar mi experiencia con un ZTE F680 de Pepephone, evidentemente en mi caso solo es valido para tener datos de internet ya que este operador no ofrece linea telefónica, pero de forma muy simple se puede poner en modo bridge sin sacar datos de ningún tipo, en este enlace lo podéis ver :)
https://www.adslzone.net/foro/fibra...monopuesto-router-asus-rt-ac86u.485928/page-2
Un saludo a todos.
 
Por facor alquien sabe cual es el comando para hacer reboot. Ya soy root y accedo por el puerto 27.
Gracias.
 
Arriba