宽带到期，移动新换了个光猫，型号中兴ZXHN F6610M

光猫默认提供了user账号，但是这个账号基本只有查看权限。

超级账号CMCCAdmin aDm8H%MdA密码并不管用。

问装维，装维不给，曲线救国通过某二手平台查到了。

1.通过超密开启临时telnet

工具帖子：正式发布自编译中兴F7607P及7615光猫本地离线开Telnet工具及使用说明-光猫/adsl/cable无线一体机-恩山无线论坛 - Powered by Discuz!

工具下载：

链接：https://pan.baidu.com/s/1o6LlxSpFGPbLI2KuIT5jdw

提取码：vjhi

解压及登录密码都是 mayi5147

2.通过临时telnet拷贝配置文件

拷贝到mnt目录

cp /userconfig/cfg/db_user_cfg.xml /mnt/
cd /mnt/
chmod 777 db_user_cfg.xml

然后开启smb或者ftp下载到电脑上即可。

3.解密配置文件

目前这个光猫是中兴3.0的配置。可以成功解密

工具帖子：中兴电信光猫天翼4.0破解获取超级密码教程-光猫/adsl/cable无线一体机-恩山无线论坛 - Powered by Discuz!

工具下载：百度网盘 请输入提取码

执行命令解密

.\ztecfg.exe -d AESCBC -i .\db_user_cfg.xml -o break.cfg

4.解密后的文件分析

默认的Telnet账号为root，密码为设备SN，即ZTEGXXXXXXXX，可以在光猫的标签上的GPON SN后找到，也可以通过登录页设备标识号的后半段找到。

超级管理员账号为CMCCAdmin，密码变成了CMCCAdmin+8位随机字符串（数字/字母/特殊字符）这个基本上是随机的没有规律

pppoe拨号的账号为手机号@net，密码为12345678

5.开启永久telnet

如果可以通过配置文件解密出来，那么执行

sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 5
sendcmd 1 DB save
killall telnetd

如果不能通过配置文件解密出来，那么执行（这里改成 root Zte521）

sendcmd 1 DB p TelnetCfg
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1
sendcmd 1 DB set TelnetCfg 0 TS_UName root
sendcmd 1 DB set TelnetCfg 0 TSLan_UName root
sendcmd 1 DB set TelnetCfg 0 TS_UPwd Zte521
sendcmd 1 DB set TelnetCfg 0 TSLan_UPwd Zte521
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 99
sendcmd 1 DB set TelnetCfg 0 ExitTime 999999
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3
sendcmd 1 DB set TelnetCfg 0 CloseServerTime 9999999
sendcmd 1 DB set TelnetCfg 0 Lan_EnableAfterOlt 1
sendcmd 1 DB save
killall telnetd