首先要深深感谢“晓风残月”，没有他的深入研究、详细说明、以及程序贡献，就不会有所谓的Root shell；0 U* _% |- b& @1 ?- h- `3 A

其次感谢

0 B3 \! V( d# l3 F/ b  o% t

+ C0 ]: C( }+ y' d为了方便各位坛友阅读，我先进行无差别扫盲：; Y5 H; b) F3 d$ w9 S

HGU:Home Gateway Unit 家庭网关单元,说白了就是直接可以充当路由器的光猫(甚至可能封掉了桥接的功能)；0 @! |5 }: J1 f: ~

SFU:SingleFamilyUnit，单个家庭用户单元；$ D& Q# U6 u1 X4 r8 X3 ]! a

SBU:SingleBusinessUnit，单个商业用户单元；7 `7 u3 }' G# j% X" T

MDU:Multi-DwellingUnit，多住户单元；

! R( C! {, b- X. L; V; |/ wMTU:Multi-TenantUnit，多租户单元；0 A5 W4 l; t  f( i8 L

EPON:Ethernet Passive Optical Network，以太网无源光网络(理论上GPON技术更优于EPON，但实际使用上各有千秋)

8 Q1 q6 C. \4 EGPON:Gigabit Passive Optical Network，千兆无源光网络+ p: m' ^1 Q$ U

ONU:Optical Network Unit，光网络单元(ONT是ONU的组成部分)，我们可以理解为ONU是多局域网口的光猫，而ONT是单网口的光猫。, {0 K) s5 w6 G4 }3 `1 p3 T

ONT:Optical Network Terminal，光网络终端。

+ W0 w/ A- y$ A9 x9 C" q6 r6 `3 A( T7 t' s" A, t' V  C

问题描述：

- r5 h1 ]( k: O( b, q我目前家里使用的光猫是烽火HG220G-U，北京联通EPON ONU定制版。各种被锁，无法搞定，因此网购了新光猫准备替换，网购的是华为HG8347R，联通天津HGU-EPON定制版。为了达到光猫替换的目的，我们必须先修改华为HG8347R的/mnt/jffs2/hw_boardinfo.xml硬件配置文件中的设备MAC地址为烽火的MAC，来欺骗局端。要修改该文件首先需要获得系统shell的root权限。HG8347R的web管理员帐户密码没有被锁，标准的华为telecomadmin/admintelecom，进入后开telnet，再使用终端登录，用root/admin可进。如telnet被封，可使用华为专用使能工具开telnet。telnet的WAP命令字符界面下，使用命令su，进入SuWAP，再敲入shell，进入busybox，发现被阉割，ls、cd 、vi等基础指令都禁止使用，怎么办？发现了关于ROOT Shell的帖子，研究之。

" H4 y1 E5 A3 Y2 m7 E

, s  v+ _0 P: L: _, l3 |) d问题处理：" o7 U" t4 q0 ?, M6 ]1 C  i$ L

根据( f  }, l* f/ T% }1.我们分别需要tftpd、puttygen、putty三个程序，和晓风残月编译好的payload-mod程序包(内含payload-mod.bin、dropbear、duit9rr.sh、hostkey四个关键文件)。

@% f5 r3 o  H8 z$ T+ F+ e

! s  ~3 @+ [* L7 v/ W! y; h

+ H$ c& c6 _& d) e# R" H* c2.运行puttygen分别生成RSA公钥和私钥

) e  V  S8 M# ]* {9 ?) n% n  a.点击生成证书，提示在界面内移动鼠标生成随机数据，不停移动鼠标一会儿后，证书生成：

3 |* d* @: G% _) @/ M0 ]& z% a8 }

5 m, @6 G) L$ W5 }3 l

b.获得公钥：上右图中字符串即为authorized_keys，可以复制另存为rsa.pub文件得到，也可点击“Save public key”，另存为rsa.pub文件得到(该文件上传至HG8347R系统后会被duit9rr.sh脚本自动改名为authorized_keys)。后续公钥会连同payload-mod程序包一起使用，公钥主要用于配合ssh服务器端(dropbear)使用。1 m! ~! T$ R; j& D7 b' B

c.获得私钥：点击“Save private key”得到与公钥相配套的私钥文件(PPK结尾)，即为用于ssh客户端使用的私钥文件。

+ S/ z1 L* Y) q7 S* R' a' k

" e9 i% K2 z+ L# z: K# a0 z

) L( L2 C3 t5 y, Y5 u9 ~! C! S! K3.方案思路：先使用telnet登录HG8347R终端，然后将payload-mod.bin文件通过指令从tftpd服务器上传到HG8347R系统并自动加载执行，结果为HG8347R系统自动调用并执行duit9rr.sh脚本，分别再将dropbear、hostkey、rsa.pub从tftpd服务器上传至HG8347R系统后，自动启动SSH服务器dropbear。然后我们再在pc端运行putty，登录SSH，获得ROOT SHELL权限。! w2 v! S6 A4 e$ X

' I+ {1 }  ~" j7 K% Q; ^1 I+ J0 D

. N4 r1 q3 M' W# f) [% x' E4.具体步骤：% z) U/ R7 N. v: C8 S2 Q

a.确认光猫IP为192.168.1.1，设置连接光猫的PC的ip为192.168.1.2。运行tftpd，指定网卡为192.168.1.2。将payload-mod.bin、dropbear、duit9rr.sh、hostkey、rsa.pub五个文件放至tftpd同目录下；5 E3 X3 k6 w1 [9 D

/ C( H0 e: H8 }: F( b  b.telnet登录192.168.1.1，使用用户名：root，密码：admin登录。在WAP命令字符界面下，输入加载指令：1 W5 L3 `" G7 l

load pack by tftp svrip 192.168.1.2 remotefile payload-mod.bin

$ K. m; Z0 Q% F1 T* b* Q  K# i7 b如一切操作正确会显示：! }/ Z* I* N/ {/ k( W

WAP>load pack by tftp svrip 192.168.1.2 remotefile payload-mod.bin success!

$ a6 U' f" R! o7 GWAP>Software Operation Successful!RetCode=0x0!

. q, ^! C" A% f) z, [c.在PC端运行putty，进行配置，服务器ip：192.168.1.1，端口：2222，登录名：root，auth证书：选择您生成的PPK结尾的私钥文件。

$ `$ O) D+ g9 Q: P4 c! B& M* K0 q8 T  z9 t( Y% _1 ^

3 ^  d4 Y' Y% E- _6 T+ h确认配置正确后，点击Open按钮，呵呵登录成功了。7 t8 i  k0 t# z: E8 X

+ A3 K6 \, U. X

经过验证，已经获取root shell权限，下面的不用我教了，呵呵。祝各位愉快。相关文件我会一并提供。

7 c/ q' U) ?5 L

& l' R. z! x6 i; _