陕西广电HGU B3 GP1702-4F光猫超级密码暴力破解

3dxfood

坐标029，最近拉了条陕西广电的IPTV，随线路还有一条300M宽带，想着可以做做联通1000M线路的冗余备份，顺便能折腾下陕西广电的组播源，毕竟广电的频道数量和码率吊打陕西联通。陕西联通IPTV就是个渣渣，频道少码率差不说，还不是单独组播线路，直播点播统统占我带宽。

然而广电小哥拉完线路调测完并不肯告诉我光猫超级密码，这必须不能忍。网上找了一圈发现古早B1、B2版本的破解方法在B3光猫跟前统统不能用，但受到之前破解方法的启发，发现光猫上报配置之后依然会将useradmin的超级密码更改为随机4位数字的弱密码，那就很容易穷举出来。所以破解思路和B2版本一致，但B2判断登陆成功与否的方式在B3版本上已不适用。通过抓包发现B3版本的光猫在登陆成功后会有个302重定向，并且尝试3次登陆失败后会有一个180秒的锁定时间，但在3次尝试中只要有一次正常的登陆就可以重置这个计数器。

所以总结一下破解思路：
1、抓包分析登陆动作实现逻辑及URL
2、useradmin的密码从0000开始暴力尝试至9999，通过判断是否有302响应确定登陆成功与否
3、为防止3次登陆锁定，需要每尝试2次之后成功登陆一下user普通用户重置计数器

随便写了段python，以下代码：

1. import requests
   
2. from bs4 import BeautifulSoup
   
3. import re
   
4. 
   
5. for i in range(10000):
   
6.     User_Agent = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134 Safari/537.36"
   
7. 
   
8.     headers = {"User-Agent": User_Agent}
   
9.     session = requests.Session()
   
10. 
    
11.     response = session.get("http://192.168.1.1")
    
12.     cookies = session.cookies
    
13. 
    
14.     login_url = "http://192.168.1.1/boaform/admin/formLogin"
    
15.     if (i % 2 == 1 or i == 0):
    
16.         # 防止密码错误次数到达上限，*替换成自己光猫的user密码
    
17.         login_data = {"username": "user", "psd": "<font color="#ff0000">********</font>", "login_in": "%B5%C7%C2%BC"}
    
18.         session.post(login_url, login_data, allow_redirects=False)
    
19.         logout_url = "http://192.168.1.1/boaform/admin/formLogout"
    
20.         session.post(logout_url, allow_redirects=False)
    
21. # 尝试以useradmin及4位数字密码登陆

复制代码

懒得优化了，能跑就行

然而我这个随机密码居然是9开头4位数，以至于我一度认为脚本有问题。。。。
尝试登陆一下

这下看起来舒服多了，随手翻翻WAN线路配置

vlan44 宽带，vlan45 iptv，顺手想改个桥接，正苦于哪找pppoe签权信息，发现广电这个大善人居然就在页面上写着：

那就不客气了，必须桥接走起


光猫里找了一圈并没找到vlan mapping的配置，总不能再拉根线到电视柜啊？那就进后台翻翻看配置藏哪了

还真给翻到了

那不客气了，vlan号懒得改就随手用它的，反正屋里多这俩也不冲突。广电盒子划vlan45里，接电视一切正常。
300M宽带聊胜于无，写个冗余留给wireguard，ros里新起个vrf，AC里绑个无线没密码限速8M给隔壁小孩谋谋福利。


iptv组播源改天再折腾吧
PS.iptv vlan45要有dhcp option60才能拿到地址。陕西广电option60居然是'600831STB'，呵呵。。

以上，有陕西广电的兄弟可以参考一下。

copperfiled

useradmin的密码居然不印在机器上吗？意思是useradmin就是超级管理吗？

mazda520

兄弟你太牛了   点个赞

sandlike

我这边广电的光猫没有管理地址，不知道怎么入后台