0x00 前言

从24年某月开始，三大宽带运营商实行光猫动态超级管理员密码，网上基于烽火光猫获取动态超密的方法已失效。经研究后，通过本文阐述如何获取动态超密，让光猫权限掌握在自己手上。

以下基于烽火光猫，型号为HG6142A开始教学(理论上所有烽火的光猫都可以通过此方法获取到超密)。

注：如您已开启TELNET并且不想了解过程，可直接跳到0X05步骤。

注：以下所有的操作都需要电脑的网口与光猫的网口用网线直连

注：已知烽火光猫硬件版本为 WKE2.094.413 时，无法开启telent，暂无解决办法。

0x01 开启telnet

获取光猫的MAC地址

• 查看光猫背面
• 使用普通用户账号登录管理后台页面
• cmd arp命令

以上三种方法任意一种都可以获取到MAC地址

获取到MAC地址后，打开浏览器输入以下地址。

http://您的光猫IP/telnet?enable=1&key=MAC地址(12位 小写要转换为大写)

// 举个例子
http://192.168.0.1/telnet?enable=1&key=ABC123DEF456

// 上面不行可以尝试下面这个
http://192.168.0.1/cgi-bin/telnetenable.cgi?telnetenable=1&key=ABC123DEF456

显示如上图所示即开启成功，关闭只需把enable的1改成0。

0x02 登录telnet

账号通常为admin(如不行使用root)，密码为Fh@+MAC后六位(大写)

admin
Fh@+MAC后六位(大写)

//举个例子
admin
Fh@DEF456

如上图所示即登录成功

0x03 查找usrconfig_conf文件

使用find命令查找光猫中usrconfig_conf文件路径

find / -name 'usrconfig_conf'

第一个路径不是，第二个是我们所需要的。

0x04 查看usrconfig_conf文件的内容

使用vi命令查看usrconfig_conf的内容

vi /fhconf/usrconfig_conf

使用方向键向下移动，查找一个为InternetGatewayDevice__X_CU_Function__Web__的值

AdminPassword的值为运营商动态修改的密码
由于密码被加密，需要使用解密命令获取密码。

0x05 解密加密后的超级管理员密码

使用cfg_cmd get命令解密密码

cfg_cmd get InternetGatewayDevice.X_CU_Function.Web.AdminPassword

等号后面为超级管理员密码

由于我已改了超级密码，姑打码处理。我这里第一次获取到超级密码以CUAdmin开头

0x006 打开浏览器使用管理员账号和密码登录

http://您的光猫IP

//举个例子
http://192.168.0.1

无需像网上所说的那样要进入维护管理员登录界面(cu.html)

点击任意一个都可以

账号通常为CUAdmin，密码为您刚刚获取到的密码。

CUAdmin
刚刚获取到的超级密码

//举个例子
CUAdmin
CUAdmin412a31da

如您不知道管理员账号或者使用CUAdmin无法登录，可回到telnet中输入load_cli factory切换为工厂模式，输入show admin_name获取。

获取管理员账号