记一次某信光猫的超级管理员密码抓包的破解过程

起因

电信应该很早就知道，大家都心知肚明超级管理员的密码是nE7jA%5m，而今年新年出头电信改掉了，无法通过固定的密码登录管理员账户。

上网查询发现多种教程，方法不一致，但无外乎是以下几类：

还是老古董时期的所谓固定的密码 nE7jA%5m or admintelecom ，这个方法绝对不可能有用了。登录光猫后访问类似http://192.168.1.1/cgi-bin/content_joyme.asp之类的网址，文件中包含管理员的密码，但是我的光猫不存在此文件，此方法pass。通过手机端漏洞抓包获得密码，本方法对作者可行。

既然只有第三种对我是可行的，我就只讲第三种了，我用的是安卓httpCanary来抓包的，IOS与电脑端也有对应的教程，这里贴出来供大家参考（苹果端抓包最容易）。

操作教程

准备工具：

抓包软件（我用的httpCanary）4.0.3及以下版本的小翼管家

首先打开小翼管家，绑定自己的网关。 绑定成功后，关闭指示灯。

打开抓包软件，开始抓包后打开小翼管家种的指示灯后，回到抓包软件停止抓包。

我们由上往下按时间顺序依次点开检查响应内容，如果发现关键词LED就是这个了。

对这个包编辑重发，修改body内容，再发送。

修改为下面内容后重发

{

"Params": [],

"MethodName": "GetTAPasswd",

"RPCMethod": "CallMethod",

"ObjectPath": "/com/ctc/igd1/Telecom/System",

"InterfaceName": "com.ctc.igd1.SysCmd",

"ServiceName": "com.ctc.igd1"

}

查看响应，则可以发现里面有管理员的密码了。 由于我已经把光猫做了桥接，再调回去麻烦，所以这里直接借用了他人的图，实际上内容都大同小异。