一台 ZXHN F650(GPON ONU) 学习小记

原创已于 2022-04-04 15:38:15 修改 · 1.7w 阅读

21 ·

CC 4.0 BY-SA版权

文章标签：

#网络协议

于 2022-04-04 15:06:15 首次发布

本文介绍了如何通过命令行操作中兴ZXHN F650光猫，包括切换省份地、修改配置、开启telnet、调整设备限制等，并提供了相关命令示例。

设备类型	天翼网关
生产厂家	ZTE中兴
设备型号	ZXHN F650(GPON ONU)
设备标识号	ECF0FE-46841ECF0FE3F8E00
硬件版本	V3.0
软件版本	V2.0.3P2T12
区域码信息	区域码配置正常

在用设备，

计划进入 telnet 了解工作情况，

目的，可以更改设备工作地区，更改SN MAC 相关信息。

普通用户 user 密码可用 telecomadmin 默认密码被更改。

使用网上的切换版本链接 hidden_version_switch.gch 发现不能进入。描述是，切换到默认地区，

就可以默认开启 telnet

用户名 root 密码 Zte521

在不恢复出厂设备的情况下，使用 user 进入 web 页面，在设备-管理设备-usb备份设置里备份出配置文件，是加密状态，无法读取。

使用一些大佬制作的配置文件解密脚本，暂未成功。

有这么一位大佬提供有解密相关在线程序，应该是可用的。

听说在线售卖的远程破解是使用的厂家工具 factorymode 但是需要授权才可用。

大佬提供了破解版软件。可以直接打开设备 Telnet 然后返回随机用户名密码。

进入后可以使用 sendcmd 查看操作，相应配置。

【重磅发布】中兴ZTE全系列光猫开telnet工具破解版 - Jarvis's Blog - Jarvis's Blog - 白帽子、全栈、IoT安全专家、嵌入式系统专家

光猫配置文件通用加解密工具 - Jarvis's Blog - Jarvis's Blog - 白帽子、全栈、IoT安全专家、嵌入式系统专家

进入telnet 后

中兴的光猫，编辑光猫的配置文件用shell的话老是要覆盖，很麻烦，其实用sendcmd可以直接修改。

telnet进去后直接运行，这是shell的命令。

Telnet用root登陆，密码Zte521（有些地区改了这个缺省密码，比如四川Zte521@SC）

简单说明：（基本语法）

1.读取全部表名：sendcmd 1 DB all

输出所有的表名，我这个光猫大概有200多个表。具体设置在哪里改，需要自己慢慢研究。

2.读取指定表详细信息： sendcmd 1 DB p 表名

4.修改某个表的某个字段的值：sendcmd 1 DB set 表名行数字段名字段值

比如你要修改上面的那个超级密码：sendcmd 1 DB set UserInfo 0 Password 123456

要修改上面的那个用户密码：sendcmd 1 DB set UserInfo 1 Password 123456就是修改普通户名密码为123456

行数就是<Row No="0"> 这个里面No的值，这里是0，下面用户的行数<Row No="1">那么行数就是1

字段名就是DM name后面引号中的名称，注意大小写。

字段值就是要设置的值

5.保存对配置文件的修改：sendcmd 1 DB save

PPPoE拨号就能正常拨通，但是DNS会被劫持，所有域名都被解析为192.168.1.1

解决DNS被劫持的问题，方法就是Telnet用root登陆，

修改光猫的认证状态，比如广东要求Status为0以及Result为1。

执行以下命令可解决以上DNS问题

sendcmd 1 DB set PDTCTUSERINFO 0 Status 0

sendcmd 1 DB set PDTCTUSERINFO 0 Result 1

sendcmd 1 DB save

然后可以重启光猫，验证DNS不再被劫持，不会上任意网站都被弹出要求注册LOID的页面

这个问题，应该是ITMS注册没成功，Status和Result的值为99，就会导致DNS解析异常)

接着，可以用命令修改连接设备数量的限制

# 修改最大设备连接数量的限制

sendcmd 1 DB p CltLmt

sendcmd 1 DB set CltLmt 8 Max 99

sendcmd 1 DB p WANCPPP

sendcmd 1 DB set WANCPPP 0 MaxUser 99

sendcmd 1 DB save

进阶：

sendcmd 1 DB p UserInfo 查看超级帐号如果全是星星的话,就直接用下面两行修改掉

sendcmd 1 DB set UserInfo 0 Username XXXXX 修改超级帐号用户名

sendcmd 1 DB set UserInfo 0 Password XXXXX 修改超级帐号密码

sendcmd 1 DB p DevAuthInfo 查看超级帐号如果全是星星的话,就直接用下面两行修改掉

sendcmd 1 DB set DevAuthInfo 0 User XXXXX 修改超级帐号用户名

sendcmd 1 DB set DevAuthInfo 1 Level 1 把user用户升级到超级用户权限

1、查看F460 CPU信息（只能telnet使用）：cat /proc/cpuinfo

2、查看和修改超级帐号用户名和密码：

sendcmd 1 DB p UserInfo

sendcmd 1 DB set UserInfo 0 Username admin

sendcmd 1 DB set UserInfo 0 Password admin

3、查看和修改登陆时长

sendcmd 1 DB p UserIF

sendcmd 1 DB set UserIF 0 Timeout 60

4、查看的端口23状态并开启：

sendcmd 1 DB p PortControl

sendcmd 1 DB set PortControl 3 PortEnable 1 开启23端口

5、查看和修改Telnet状态

sendcmd 1 DB p TelnetCfg

sendcmd 1 DB set TelnetCfg 0 TS_Enable 1 开启telnet

sendcmd 1 DB set TelnetCfg 0 Wan_Enable 0 防止外网telnet

sendcmd 1 DB set TelnetCfg 0 Lan_Enable 0 防止本地telnet

sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 5 修改Telnet的最大连接数为5，防止锁住

以上引用中兴F650光猫破解数图去个数限制 TTL 教程资料汇总 - 选C好 - 博客园

大佬帖子。

以下引用

中兴及中兴代工光猫通过命令行切换省份地区_开心电视网

中兴及中兴代工光猫通过命令行切换省份地

目的：原切换网址：http://192.168.1.1/hidden_version_switch.gch 在新版本中失效
需要改掉省份切地区得执行相应的命令，根据光猫目录和命令原理，可采用

upgradetest sdefconf XXX执行

具体数字对应该省份查询，通过telnet 192.168.1.1后执行/etc/init.d/regioncode回车，如下图所示

如图所示，对应的拼音就是相对应的省份数字，
如切换成江苏就输入:upgradetest sdefconf 300
回车,部分中兴代工产品需要输入：siupgrade sdefconf 300
不同产品对应数值不同，先输入/etc/init.d/regioncode后查询再进行命令

另外还有个批量的办法，就是通过重新打包固件后，进行批量升级或单台升级，一经升级按自己所属地区改好省份和OUI等，不用再另行切换！！！

使用telnet 切换地区后，默认telnet就开启了，默认密码就能使用了。

但是导出配置文件，依然加密。可以尝试解密，与使用 sendcmd 直接更改管理用户密码。

更改 MAC SN 可使用 setmac 命令操作。

/ # setmac 2
Usage format:
setmac <action type> [<para_id>] [<hex string para_val>]
setmac show
action type:
1-set param; (exam: setmac 1 512 sn:20081106)
2-get param; (exam: setmac 2 512)
3-del param; (exam: setmac 3 512)
4-format region; (exam: setmac 4)
/ # setmac show
===============Current Status of TagParam===============
PONMAC[ID: 32769] is not set
PONLOID[ID: 2180] is set to 37 35 35 34 38 33 37 32 35 33 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PONPASSWD[ID: 2181] is not set
EPONSN[ID: 2182] is not set
VENDORID[ID: 2176] is set to 5a 54 45 47
GPONSN[ID: 2177] is set to 43 42 37 39 36 42 34 39
GPONPWD[ID: 2178] is set to 47 43 42 37 39 36 42 34 39
OUI[ID: 768] is set to 45 43 46 30 46 45
SN[ID: 512] is set to 34 36 38 34 31 45 43 46 30 46 45 33 46 38 45 30 30