移动HG系列光猫破解

By | 2026-01-11

如果你的光猫是移动HG系统的可以采用这个方法开启telnet和获取超级密码,分享一下步骤,亲测ZXHN系列失败

参考HG系列光猫破解:https://www.bilibili.com/read/cv21044770/

第一步:获取MAC地址
翻看光猫的背面,找到那串标识为MAC的字符,并将其记录下来。比如说,你看到的是 54-E0-05-2A-4F-20。接下来,把这些横杠删掉,使之变成 54E0052A4F20。

第二步:开启Telnet
在浏览器地址栏输入以下内容:

http://192.168.1.1/cgi-bin/telnetenable.cgi?telnetenable=1&key=

将刚刚编辑过的MAC地址附加到末尾,如下所示:

http://192.168.1.1/cgi-bin/telnetenable.cgi?telnetenable=1&key=54E0052A4F20

访问这个网址后,你应该会看到提示“telnet开启”,这说明操作成功。

第三步:获取超级密码
打开Windows系统的CMD(命令提示符)或者macOS的Terminal终端,输入以下命令来连接光猫:

telnet 192.168.1.1

在login:提示符后输入admin,在Password:后输入以下格式的密码:Fh@加上之前获取的MAC地址的后6位。例如,如果MAC地址的后6位是2A4F20,那么密码就是Fh@2A4F20。注意,输入密码时不会显示,这是正常的。

登录后,你会看到一个#符号,表示你已进入光猫的命令行界面。

接下来,依次输入以下命令来获取超级密码:

load_cli factory
show admin_name
show admin_pwd

执行这些命令后,你将看到类似以下的信息:

admin_name=CMCCAdmin
admin_pwd=CMCCAdminHq6L#2Xu

其中,CMCCAdmin就是超级用户名,CMCCAdminHq6L#2Xu就是超级密码。

最后一步:登录光猫管理界面
现在,访问http://192.168.1.1,输入刚刚获取的超级用户名和密码,恭喜你,你已经成功进入光猫的管理员模式!可以自由调整各种高级设置了。

注意事项
如果在执行命令时,提示Unknown command,说明该光猫的Telnet功能被运营商屏蔽,目前没有其他解决方法。
在操作过程中,如果担心输入错误,可以先在记事本中编辑好命令,然后右键粘贴到终端中。不要使用Ctrl+V进行粘贴。
总结
如果你的光猫是移动HG系列,或者已经开启了telnet可以看下是否是OpenWrt系统,尝试一下能不能安装“小猫咪”吧,真是一个有意思玩法啊!虽然我失败了,但理论上是可以的,能直接把光猫当主路由折腾,光猫就变成猫窝了

华为HN8145XR光猫全面刷机教程开启Telnet与界面定制
本专栏教程针对华为FTTR主光猫8145XR

教程包含刷机工具加群获取,不收费免费,谨防收破烂的同行从中牟利。

本设备不支持电信Epon网络,但支持电信10gpon网络,需要改公版界面自己写数据

  1. 光猫开机下重置,后台的登录地址是192.168.1.1,管理帐号和密码如下
    移动账号密码

CMCCAdmin

aDm8H%MdA

联通账号密码

CUAdmin

CUAdmin

  1. 进入 安全-ONT访问控制配置,把LAN服务下的选项全选上
  2. 用使能工具,选补丁1.bin升级,光猫的灯会一直不停的闪,软件会显示失败, 不用管他,这时一直等光猫的灯不停的闪到熄灭为止,然后断电重启光猫就补全了
  3. 本地先打开tftpd程序(可能需要关闭电脑防火墙),打开telnet 工具,输入
    如果命令提示找不到telnet命令,先去设备管理器-系统程序功能里把telnet打开安装完成后重启一下电脑在操作就好了,系统有差异化,自行百度系统开启telnet功能教程。

命令行输入如下

telnet 192.168.1.1

账号密码

root

Hw8@cMcc

某些版本密码可能是

adminHW

  1. 将文件传出到本地电脑, 并做好备份
    su

shell

cd /mnt/jffs2

cp -f /mnt/jffs2/hw_boardinfo /mnt/jffs2/hw_boardinfo.bak

tftp -p -l hw_boardinfo -r hw_boardinfo 192.168.1.2

*一行一行输入,不要整个复制输进去,会报错。

  1. 用Dollar 2打开hw_boardinfo

640.webp

7.修改模式
如果修改为华为界面,查找以下id并改value成以下对应的值

obj.id = “0x0000001a” ; obj.value =”COMMON”;

obj.id = “0x0000001b” ; obj.value = “COMMON”;

obj.id = “0x00000031” ; obj.value = “NOCHOOSE”;

如果修改为移动界面,查找以下id并改value成以下对应的值

obj.id = “0x0000001a” ; obj.value =””CMCC”;

obj.id = “0x0000001b” ; obj.value = “TJCMCC_RMS”;

obj.id = “0x00000031” ; obj.value = “CHOOSE_CMCC_RMS2”;

如果修改为联通界面,查找以下id并改value成以下对应的值

obj.id = “0x0000001a” ; obj.value =””COMMON”;

obj.id = “0x0000001b” ; obj.value = “HENCU”;

obj.id = “0x00000031” ; obj.value = “CHOOSE_UNICOM2”;

如果需要修改序列号也是在这个文件里对着光猫后面标签寻找修改替换

如果修改为10G EPON,查找以下id并改value成以下对应的值

obj.id = “0x00000001” ; obj.value =”6”;

obj.id = “0x0000001d” ; obj.value = “3”

obj.id = “0x00000059” ; obj.value =”6”;

如果修改为XGPON,查找以下id并改value成以下对应的值

obj.id = “0x00000001” ; obj.value =”5”;

obj.id = “0x0000001d” ; obj.value =”5”;

obj.id = “0x00000059” ; obj.value =”5”;

  1. 修改后上传文件
    tftp -g -l hw_boardinfo -r hw_boardinfo 192.168.1.2

  2. 输入reboot重启生效
    reboot

  3. 遇到问题改回去,telnet连接上后输入以下命令
    cp -f /mnt/jffs2/hw_boardinfo.bak /mnt/jffs2/hw_boardinfo

  4. 输入reboot重启生效
    reboot

就此完事

需要知道的地方:上传到光猫的文件检查好文件路径,别整错了,页面没变多数是因为文件传错了,那是你不细心不是文件有问题。

简单几步更换运营商的光猫
641.webp
宽带运营商主要是通过光猫设备的SN码、MAC地址、LOID码、PASSWORD其中的一项或者是几项来识别光猫身份进行认证,而华为B610-4E的这些参数都是可以修改的。我们只需要把华为B610-4E上的这些参数修改成跟运营商的光猫一样,就可以通过认证,获取宽带服务。

确定当地宽带运营商是通过哪些参数进行认证,比如我这里(江西移动)的宽带是通过PASSWORD和SN码认证的。

查看一下运营商的光猫背面贴纸,有可能可以获取光猫的SN码和MAC地址
700.webp
简单几步更换运营商的光猫(附装维师傅不会轻易对你说的一些“冷知识”)
但很可惜,我这个光猫什么也获取不到。

那只能用需要超级用户帐号和密码了。

有一些地区(比如说江西移动)的超级用户帐号和密码都是默认的,可以参考以下用户帐号和密码。如果不行,找装维师傅要,放心,一般都会给你。

电信超级密码:用户名telecomadmin 密码nE7jA%5m

移动超级密码:用户名CMCCAdmin 密码aDm8H%MdA

联通超级密码:用户名CUAdmin 密码CUAdmin

华为原版界面超级密码:用户名telecomadmin 密码admintelecom

通过超级用户帐号和密码进入光猫后台,按以下步骤获取SN码、MAC地址、LOID码、PASSWORD等信息。
701.webp
702.webp
703.webp
简单几步更换运营商的光猫(附装维师傅不会轻易对你说的一些“冷知识”)
如果显示号,单击一下旁边的眼睛图案如果显示号,单击一下旁边的眼睛图案

简单几步更换运营商的光猫(附装维师傅不会轻易对你说的一些“冷知识”)
然后再获取各种WAN连接的参数。主要是PPPOE拨号模式和桥接模式,如果有IPTV,还需要记录一下IPTV模式。 TR069连接不建议记录,这是运营商用来远程监控和修改光猫参数的,有些值友改了桥接模式后又被改回PPPOE模式就是因为TR069连接。

按以下步骤记录PPPOE拨号模式和桥接模式,特别是VLAN ID。

冷知识:一般来来说,一个地区同一家宽带运营商的VLAN ID都是一样的。
704.webp
桥接模式桥接模式
705.webp
PPPOE模式PPPOE模式
706.webp
PPPOE模式PPPOE模式

因为我没有IPTV,就没有记录IPTV连接的参数。如果有值友是办理了IPTV服务,可以按以上步骤记录下IPTV连接的参数。

记录好所有的参数后,把运营商的光猫撤下,换上华为B610-4E。接下光纤、网线、电源后开机。

登录华为华为B610-4E后台,用超级密码:用户名telecomadmin 密码admintelecom登录。
800.webp
801.webp
802.webp

选择WEB业务发放
803.webp

选择认证方式,根据地区和运营商确定认证方式,如果不知道就都试一下。一般来说,移动大部分是PASSWROD认证。如果是LOID认证,密码一般是空。我这里(江西移动)是PASSWORD和SN认证。

填写相关参数。
804.webp

点击下一步,创建WAN口连接。我先创建一下光猫PPPOE拨号模式的连接试一下。

按照自己在运营商光猫记录的参数填写。
805.webp
806.webp

注意绑定项的设置,华为B610总共有4个LAN口,你绑定哪个LAN口,就表示用哪个LAN口提供服务。因为我的网线是插在LAN4网口,所以我绑定LAN4。

冷知识:光纤和光猫是绑定的,但宽带帐号不是绑定的。宽带帐号可以在同一家运营商的任意光猫上登录使用。

注意一下NAT类型和IPV6信息的填写。填写完后点击 应用。
807.webp

开始下发业务。如果所有参数填写正确,很快就能下发完毕。
8081.webp

点击进入首页
900.webp

显示网络状态正常。点击系统信息
901.webp
正常情况下ONT注册状态:O5

902.webp
WAN信息显示connected(已连接),已获取IPV4和IPV6地址。

903.webp
业务开通状态,因为没有创建TR069连接,OLT业务配置状态一直是正在下发。这是不用管它,如果你创建了TR069连接,运营商会在后台运程重置你的设置。

电信贝尔G-140W-TG光猫破解超级密码、开telnet、打开全锥NAT
一.打开telnet
进入正题,首先要知道自家的LOID、密码(可以找人工/装维)、PPPoE账号密码(这个没有可以电信APP查改),然后拔光纤,大胆按RESET直到重启。

(如果有小翼管家也可以抓包改请求查到密码,这里就不写了)

别理它的自助注册,用nE7jA%5m登进去,访问这个链接点一下开启。telnet进去要密码?用useradmin/背后贴的密码登进去

然后输入su useradmin_ftp,还是贴的密码,uid就变成root了~

经过研究rc脚本发现开机时会调用/config/postapp.sh脚本,因此可以把telnet启动固化到这里(默认telnet 24h后就关了):

!/bin/sh

uptime

/tmp/postapp.log

close all leds after boot complete

oflt led off

whiletrue
do
/usr/sbin/telnetd -F -l /bin/login -p 8023 -b 192.168.1.1 -m1
echo”[ERROR] telnetd had been killed! ret: $?”

/tmp/postapp.log
echo”[ERROR] Restarting telnetd…”
/tmp/postapp.log
sleep
1
done
exit
0
(因为我是换的猫,为了避免装维上门我克隆了旧猫的MAC和SN,具体看参考文章)

二.修改超级密码
可恶,陕西也开始自动修改超级密码了,但不是每天变,是配置业务时下发一次

经过研究,cfgcli -a > /mnt/config.xml可以dump光猫的明文xml配置,用ftp下载下来后用Python parse一下,超级密码所在的键是InternetGatewayDevice.DeviceInfo.X_CT-COM_TeleComAccount.Password

cfgcli -g {path}查一下,竟然是*(笑),只能修改了~用cfgcli -s {path} {password}修改超密后实时生效

Wi-Fi名所在的键: InternetGatewayDevice.LANDevice.1.WLANConfiguration.{dev}.SSID,其中dev 1是2.4G,dev 2是5.8G,实时生效。

三.刷OpenWrt子系统
和我上一篇的目的类似,光猫具有足够的nand flash空间,可以用来跑一些应用,因此为子系统移植busybox和开启telnet

将系统复制到FAT32格式的U盘上,插上光猫。登录光猫,切到root后cd /mnt 找到你的U盘,输入md5sum saf.img,比对md5是否为c1bacafb797dab2f6100f67d5b21647c

新的下载链接

如果MD5一致的话,输入dd if=saf.img of=/dev/mtdblock11,有返回后输入sync两到三次,会卡一段时间。结束后输入reboot重启

重启后telnet开在2323端口,账号root,密码默认为空

GCC编译器请选择mipsel

请务必使用passwd修改root密码!否则onu暴露在外网被当肉鸡概不负责!

(p.s. 这款猫的主系统也是squashfs,想要修改的自行提取,Linux系统下修改吧~但CFE没密码进不去,刷砖了大概率只能上编程器喵~)

提供一个备份: 下载链接 (密码写的很清楚了,不要问)

四.救砖
发现系统的/etc是可写的ubi分区,因此我修改了一些文件,然后用chattr +i /etc/shadow固定,结果悲剧了…8080服务起不来,telnet登不进去,重置之后直接半砖了…QWQ

参考文章,这款猫直接引出了ttl插针,遂拆之。我的这款已经没有丝印了,定义如图:

网线口朝上,自上而下是TX RX GND

使用PuTTY链接,速率115200,跑码结束后竟然不是shell,按惯性输入?,输enable和shell,竟然也要密码…

参考文章,这个密码是固定的LA(ImvZx%8,输入后成功进系统,原模原样复原即可

又翻了一下,CFE的账号密码是电信的超级密码

主系统的busybox被魔改过,-h的帮助文档是乱的,并且普通用户无权使用vi…

这个网关是4.0的,但是连不上小翼管家,提示未连接插件中心,8080后台显示连接成功