（一）上海电信光纤猫 中兴F450G V2.0 超级管理密码获取

本文所述之大部分方法，同样适用对南通电信光纤猫超管密码破解，南通地区大部分是低版本的光猫，一个有效链接便直接可以获取（具体参见另一篇南通电信破解的文章https://www.jianshu.com/p/1ea2df90cba3）。

上海电信宽带组网已知条件：

1.中兴F450G V2.0版本的，阉割了TTL针脚（2016年12月份的机器）。

2.普通上网带宽500兆，另有两路4K IPTV

目的：获取超级管理员账号密码，更改VLAN和路由，桥接IPTV 4K盒子。

关键词：TTL telecomadmin telnet 超级终端 SecureCRT(Putty)

方法一：光纤猫主板补焊TTL针脚

缺点：光纤猫难拆卡子太多，焊接针脚

方法二：恢复出厂，不接光纤，使用默认密码连接并设置，大部分设备均有效。

方法三、社会工程学

打10000客服报修，跟上门维修的师傅，要一下密码，通常理由就是修改桥接，单独外置路由拨号。

上述前两种方法详述

方法一，拆开光猫，在主板上补焊

打开光猫后主板上未自带ＴＴＬ针脚，需要补焊，ＴＴＬ针脚可以从别的主板取，也可以直接淘宝，工具需要电烙铁和焊锡丝、松香即可。下图是补焊完成后的接线图，注意针脚顺序。

TTL连接电脑（TTL针脚注意判断GND RX TX VCC，不要接错烧板子），安装驱动，COM端口连接，设置比特率为115200（配置正确无误，否则会有乱码），用超级终端或者SecureCRT获取配置文件，导出telecomadmin账号和密码。TTL连接由网口往下1 NG  2 接地  3TX  4 RX  5 3.3v电源，如果不通3,4交换一下，用户名密码  root  root或者 用户名root 密码Zte521。

（1）使用以下命令更改原设备自带的默认配置文件

插上光纤后不自动关闭telnet，这个很重要必须要设置，以后如果被电信远程更改了telecomadmin，可以直接Telnet查看新密码。

sendcmd 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1

sendcmd 1 DB set TelnetCfg 0 TS_Enable 1    打开telnet

sendcmd 1 DB set PortControl 3 PortEnable 1  打开23端口

sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1    局域网登录允许

最多能够登录5个用户，避免被锁死

sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 5

破解打开网页自动跳转LOID注册页面

sendcmd 1 DB set PDTCTUSERINFO 0 Status 0

sendcmd 1 DB set PDTCTUSERINFO 0 Result 1

直接关闭限制最大用户数

sendcmd 1 DB set CltLmt 8 Enable 0

查看telecomadmin帐号的密码

sendcmd 1 DB p DevAuthInfo

完成修改之后需要使用保存，重启命令才会有效

sendcmd 1 DB save

sendcmd 1 DB reboot

注意：禁用电信远程控制前，需要先完成设备LOID注册之后，再禁用Tr069（电信远程控制），否则会导致光猫不能注册。不通过命令修改Tr069，可以通过修改网页的源码把按钮调成可用之后修改也行。

（2）重启光猫，进192.168.1.1的页面，点设备注册，输入宽带识别号（第1步中备份的）后点下一步，完成设备注册！

（3）禁用电信远程控制，也可以不操作，通过（1）中的telecomadmin来操作设置。

sendcmd 1 DB p MgtServer

sendcmd 1 DB set MgtServer 0 URL http://127.0.0.1    把ITMS认证地址改掉

sendcmd 1 DB set MgtServer 0 PeriodicInformEnable 0    不启用周期上报

sendcmd 1 DB set MgtServer 0 Tr069Enable 0    禁用Tr069远程控制

sendcmd 1 DB set MgtServer 0 UserName *****    这里的*改成随便什么当ITMS认证用户名

sendcmd 1 DB set MgtServer 0 Password **********    这里的*改成随便什么当ITMS认证密码

sendcmd 1 DB set MgtServer 0 PeriodicInformInterval 157680000    把间隔时间弄成5年

sendcmd 1 DB set MgtServer 0 ConnectionRequestUsername *****    这里的*改成随便什么当反向认证用户名

sendcmd 1 DB set MgtServer 0 ConnectionRequestPassword **********    这里的*改成随便什么当反向认证密码

以上用户名和密码部分可以不用管

（4）涉及设备用户名和密码部分内容

sendcmd 1 DB p DevAuthInfo 查看设备所有用户名和密码

sendcmd 1 DB set DevAuthInfo 0 Pass **********    这里的*改成你自己希望的teleadmin用户的密码，执行完就在网页上试试登录

sendcmd 1 DB set DevAuthInfo 1 Pass *****    这里的*改成你自己希望的useradmin用户的密码，执行完就在网页上试试登录

方法二：利用深度重置，telnet连接修改默认配置，老版本机器可以直接telnet

缺点：要补配置内部分功能连接（找一台其他可进超管的猫配置复制一下）

1、登录普通账户，记录宽带识别号（备份很重要，尤其是宽带识别号，实在弄不到就报修吧）

2、拔掉光纤后（更改好之前不要连接光纤，一旦连接就会关闭telnet，又得重置设备），通过http://192.168.1.1/return2factory.html 恢复真正的出厂设置，只用登陆界面的恢复出厂设置按钮是不能清除设备注册信息的，或者你可以直接捅光猫菊花。

3、登录参见方法一中的（1）部分操作。

方法三、社会工程学

打10000客服报修，跟上门维修人员，直接索要，密码以及宽带的其他信息在手持维修设备中都有，通常索要的理由就是修改桥接，单独外置路由拨号。

截止19年3月份，上海电信陆续以升级或免费试用千兆宽带为名，为客户更换新的光猫，又称SDN设备，这种设备暂时无任何破解方法，只能要求电信更改拨号为桥接，改桥接需要签订所谓的推责协议，出了问题用户自己负责之类的，更改桥接之后无法再更改回路由模式。SDN设备简单理解用户家里就是放置一台硬件设备，所有的配置和设置都通过远程定义好，用户无需干预，好处是故障容易排除，便于远程维修处理，缺点是，家里的网络设备无法自主干预，都处于电信监控管理之下。

其他一些内部可供测试的链接，未完全测试，仅供参考

http://192.168.1.1/hidden_version_switch.gch 切换区域版本

http://192.168.1.1/return2factory.gch                恢复出厂

http://192.168.1.1:8080/hidden_version_switch.gch    切换区域版本

http://192.168.1.1:8080/return2factory.gch                恢复出厂

http://192.168.1.1:8080/bridge_route.gch                改光猫桥接模式

注意：F450G必须超级用户登录，有些设备普通用户登录也行。

导出配置页面：http://192.168.1.1/backupsettings.html    部分南通设备可直接用此方法导出用户名密码

导入配置页面：http://192.168.1.1/updatesettings.html

服务访问控制：http://192.168.1.1/scsrvcntr.html

工厂模式页面：http://192.168.1.1/factorymode.html  (工厂模式下可修改MAC等参数)

版本信息页面：http://192.168.1.1/test_version.html

显示当前配置：http://192.168.1.1/dumpmdm.cmd

参考文：

http://koolshare.cn/thread-15347-1-3.html    悦me网关TTL破解超密教程 用户名密码admin

https://www.jianshu.com/p/708a33de5066    电信悦me网关F450TTL破解

http://blog.onlybird.com/hzx/2016101190.html    悦me光猫 E-140W-P 获取超级密码

http://www.chinadsl.net/forum.php?mod=viewthread&tid=151435

http://www.chinadsl.net/forum.php?mod=viewthread&tid=143667

http://www.chinadsl.net/forum.php?mod=viewthread&tid=123243

http://www.chinadsl.net/thread-127560-1-1.html

http://koolshare.cn/thread-67901-1-1.html （未阉割的F450G V2.0电路板）

http://www.chinadsl.net/thread-127441-1-1.html （有同硬件2.0配置TTL图片）

http://www.chinadsl.net/forum.php?mod=viewthread&tid=131380  焊接成品图有效 数据接线

http://www.chinadsl.net/thread-128362-1-1.html  总结一下F450Gv2版的免拆机破解过程

http://www.chinadsl.net/forum.php?mod=viewthread&tid=143608

http://www.chinadsl.net/thread-127666-1-1.html    初试中兴F450Gv2免拆机破解和过程，更新直接修改Tr069网络连接设置

http://www.chinadsl.net/thread-126463-1-1.html    免拆机免TTL破解中兴F450G与贝尔贝尔E-140W-P，及相关指令研究 ，较早的

http://blog.sina.com.cn/s/blog_540316260102v2ru.html 如何用超级管理员配置中国电信光猫 

http://www.cnblogs.com/dolphi/p/4309772.html 中兴电信光纤猫F612管理员密码获取方法