数码之家

 找回密码
 立即注册

QQ登录

只需一步,快速开始

微信登录

微信扫一扫,快速登录

搜索
查看: 778|回复: 18

九联科技海思方案WIFI6路由器UNR-030H折腾小记

[复制链接]
发表于 2022-8-4 12:06:00 | 显示全部楼层 |阅读模式
本帖最后由 Lihewin 于 2022-8-4 15:56 编辑
第一次在数码之家发帖子,如有排版等问题请多包涵。

从淘宝上买的九联路由器,1.5A版本,70元,在宿舍作为AP使用。
@herman_mo 大神的汇总帖总结98款运营商定制WiFi6 mesh路由的配置中,给予了这款路由器"雷”的评价,原因是固件非常烂,以及自带的usb无法使用。奈何在70元的档次中,它的无线性能还是过于强大了,完全可以忽略固件的缺点。实际使用中体验也很不错。
这个机器有1.5a和2a的版本,除了供电以外,存储和内存容量都不同,但其他配置相同。在海思无法刷机的前提下可以忽略。在acwifi里有这款路由的拆机,这里就不拆了。
以下是喜闻乐见的固件探索:

首先登陆路由器后台

跟光猫长得很像的运营商后台

跟光猫长得很像的运营商后台


直接输入路由器背后的密码进入后台。
图片.png
毫无审美的页面,不过倒也算清晰简洁。
图片.png
在这里可以选择桥接或者网关,作为AP选择桥接即可。


既然是运营商路由器,就最好能找到超级密码:
现在开始尝试打开telnet:
@nianqing126 这位朋友之前的探索中获得了root的密码router@001,但是他似乎是拆机后使用的ttl登陆的,没有使用远程登陆。
尝试直接登陆telnet:
图片.png
发现root用户被禁止telnet,我也无法使用常见的CMCCAdmin等管理账户登陆。
尝试连接ssh:
图片.png
无法连接,现在只好从网页入手,尝试打开telnet。
前端如果要对路由器进行控制会使用js脚本。
图片.png
好在这里的js完全没有经过混淆,如果能够搜索到控制telnet的脚本便可以尝试诈胡。
这不,他来了。
图片.png
在这篇脚本中,实际发生作用的只有最下面的set_telnet_save()函数,本来该函数调用了上面的init_telnet_set(),但是估计是由于厂商隐藏的原因,调用被注释掉了。
function set_telnet_save(){
    MOD = "save";
    var obj = new Object();
    obj.mode = "save";
   
    obj.telenet_enabled = getTag("telnet_info","telenet_status_select").select.entity.value;
    if (getTag("telnet_info","telenet_status_select").select.entity.value == "0") {
        obj.user_name = "";
        obj.user_password = "";

    }
    else
    {
        obj.user_name = encrypt_info(getTag("telnet_info","telnet_name").text.entity.value);
        obj.user_password = encrypt_info(getTag("telnet_info","telnet_password").text.entity.value);
    }

    setAppDataurl('save','set_telenet_enabled',obj,function(data){
        //init_telnet_set();
        $.Refresh();
    });
}


可以简单看出,打开telnet的方式就是新建一个obj对象,并且将加密的用户名和密码赋值给obj,最后调用setAppDataurl()发送。
明白了原理,就可以尝试编写相应的代码。
var obj = new Object();
obj.mod = "save";
obj.telenet_enabled = "1";
// 将telnet开启设置为非零值
obj.user_name = encrypt_info("user");// 加密用户名
obj.user_password = encrypt_info("RUHNPC27");// 加密密码,
setAppDataurl('save','set_telenet_enabled',obj,function(data){$.Refresh();});// 将数据保存到服务器

将代码放在浏览器控制台中运行。
图片.png
保存成功,估计应该已经成功开启了本账号的telnet使用权限。

现在尝试登陆:
图片.png
发现成功登陆,并自动切换为了CMCCAdmin账号。
直接su root,使用router@001登陆。完成。
图片.png
现在尝试开启路由器的文件管理权限以及ssh。
busybox中内置了一个简化版的ps命令,可以查看进程。
图片.png
发现正在运行ftp服务器,但是没有ssh服务器运行。
双击tab查看所有可用程序,发现内置了一个dropbear服务器可用于ssh连接。
当场开启并转移到ssh。
图片.png
完成。
但是ftp服务器却禁止登陆,可能跟vsftpd的配置有关。
find / -name "*vsftpd.conf*" 全盘搜索vsftpd.conf
图片.png
发现位于/etc中。
vi打开
图片.png
在这片配置中,chroot_local_user=YES,用户只能访问规定的文件夹
userlist_deny=NO,仅有userlist中的用户能访问。
然而它的userlist中仅有anonymous,却又在上面禁止了anonymous,难怪不能登陆。
更改文件并重启vsftpd。4008是当前vsftpd的pid,通过ps查看。
图片.png
成功进入ftp服务器。
图片.png
发现在/usr/httpd/web中存放了网页。
图片.png
图片.png
访问maintain网页,移动路由器秒变电信光猫。

查看提供网页的服务,发现是一个叫webServer的程序在提供网页服务,根据猜测应该是一个boa服务器,但是并没有找到提供后端服务的cgi文件。
有一个叫hi_appm的程序在根据一些配置文件服务,也没有找到这个程序的log文件,猜测是一个解决方案,根据配置文件提供服务?
如果有熟悉海思方案的朋友请多多指教。
还有一个hostapd程序,这个是提供无线认证服务的。
一个隐藏的脚本引起了我的注意:
#! /bin/sh

# init appm & ipc
mkdir /var/.appm
mkdir /var/.ipc

# init ucm
sysinfo_conf=/config/worka/sysinfo.xml
board_conf=/etc/board/board.xml
target=/var/.ucm

mkdir -p $target
cp -rf /config/conf $target/
if [ -e $sysinfo_conf
then
    cp -rf $sysinfo_conf $target/conf/xml/
fi

cp -rf $board_conf $target/conf/xml/

可以看到这个脚本将ucm程序,appm程序,ipc程序的配置文件复制到var中供使用,而配置文件正是我们需要的。
找到配置路径,发现配置文件被加密。然而被解密的文件就在下面被隐藏了起来。
图片.png
打开,满满都是数据,而且我做了实验,这个文件是跟着配置动态变换的。
搜索登陆密码,发现密码下面还有一个账户useradmin。不过没有办法登陆,提示的登陆错误。
图片.png
在配置telnet的部分发现了老熟人CMCCAdmin。不过因为没有放在SYSMNG_ACCOUNT_ATTR_TAB字段中,所以不能直接在后台登录。
图片.png
所以没有发现能登陆后台的超级密码。


cli命令
不过这是否代表着完全无法调整一些高级设置呢?似乎并不是这样。
实际上在这台机器里面存在着能够允许修改设置的程序hi_ipc,被链接到了cli命令,
通过这个程序可以通过一些预设的脚本调整路由器的行为。

举个例子

通过调整/home/cli/board/led_all_set 可以控制前面板灯光:
图片.png
可以看到,在该脚本的act字段中,0代表关闭所有灯光,1代表全开,2代表闪烁,3代表自动(即正常模式)。
以下是测试:
图片.png
灯光全开模式
cli /home/cli/board/led_all_set -v act 1

图片.png
灯光全关模式
cli /home/cli/board/led_all_set -v act 0

图片.png
闪烁模式,没有动图看不出来
cli /home/cli/board/led_all_set -v act 2
正常模式就不放图了,
cli /home/cli/board/led_all_set -v act 3
调整upnp以及dmz这些设置,可以通过/home/cli/sal/net/里的脚本完成。
图片.png

打赏

参与人数 1M币 +60 收起 理由
家睦 + 60

查看全部打赏

发表于 2022-8-4 12:56:53 | 显示全部楼层
插楼,还好当时选了小米8806
回复 支持 反对

使用道具 举报

发表于 2022-8-4 13:11:12 | 显示全部楼层
欢迎使用中国电信智能网关
回复 支持 反对

使用道具 举报

发表于 2022-8-4 13:21:07 | 显示全部楼层
50买了一个同款,终于用上了WIFI6
回复 支持 反对

使用道具 举报

发表于 2022-8-4 19:23:52 | 显示全部楼层
看不太懂 先谢谢分享
回复 支持 反对

使用道具 举报

发表于 2022-8-4 19:40:47 | 显示全部楼层
现地超级密码已经网上控制了
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-8-4 21:11:50 | 显示全部楼层
llqqhh 发表于 2022-8-4 19:40
现地超级密码已经网上控制了

问了几个宽带师傅,说是可以在线查看一些光猫的密码。不过路由器的好像查询不了
回复 支持 反对

使用道具 举报

发表于 2022-8-5 09:00:02 | 显示全部楼层
谢谢大佬分享
回复 支持 反对

使用道具 举报

发表于 2022-8-5 09:52:09 | 显示全部楼层

看不懂 谢大佬分享
回复 支持 反对

使用道具 举报

发表于 2022-8-5 16:32:45 | 显示全部楼层
有个移动的九联030Z,好像是中兴方案的,怎么折腾
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-8-5 16:46:12 | 显示全部楼层
sonic613 发表于 2022-8-5 16:32
有个移动的九联030Z,好像是中兴方案的,怎么折腾

没有玩过,但是如果是运营商定制机器的话,首先还是想办法进命令行,telnet开不了就拆机试试ttl。
回复 支持 反对

使用道具 举报

发表于 2022-8-6 02:45:06 来自手机浏览器 | 显示全部楼层
70哪里有淘宝搜不到
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-8-6 10:16:06 | 显示全部楼层
qq1638546185 发表于 2022-8-6 02:45
70哪里有淘宝搜不到

闲鱼上捡的小漏,如果70拿不到的话八十来块也是可以接受的
回复 支持 反对

使用道具 举报

发表于 6 天前 | 显示全部楼层
会的随便搞,不会看着都烧脑
回复 支持 反对

使用道具 举报

发表于 6 天前 | 显示全部楼层
我的万元k2p还阔以再战三年
回复 支持 反对

使用道具 举报

 楼主| 发表于 6 天前 | 显示全部楼层
数码小子110 发表于 2022-8-8 11:23
会的随便搞,不会看着都烧脑

哈哈哈哈,和真正的高手比起来我连门槛都还没摸到,还是很希望大神能点拨一下的
回复 支持 反对

使用道具 举报

发表于 昨天 21:34 | 显示全部楼层
所以还是寄么,我拆了一个UNR030N,配置和那个贴里的AX1800应该是一样的,本来2.4也是wifi6的我还觉得还好,现在遇到的问题是怎么够搞不出IPV6(路由拨号获取不到,即便桥接也获取不到),光猫是能获取IPV6的。

顺带一提不知道是不是我记忆有问题,我总感觉曾几何时是有个超级密码能登进去的,可能是移动对固件进行了升级,这个路由用和家亲APP也能调灯光。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

APP|手机版|小黑屋|关于我们|联系我们|法律条款|数码之家

闽公网安备35020502000485号

闽ICP备2021002735号-2

GMT+8, 2022-8-14 08:01 , Processed in 0.093600 second(s), 13 queries , Redis On.

Powered by Discuz!

© 2006-2021, MyDigit.cn

快速回复 返回顶部 返回列表