移动创维SK-D749S光猫改桥接

移动创维SK-D749S光猫改桥接

本文仅为个人笔记，不保证有效，不接受提问，也不会回复任何内容。

---

直接打开地址http://192.168.1.1/bridge_route.gch，然后点击“桥接复原”，等待重启后用下级设备拨号即可。不需要在页面填写任何用户名密码，也无需理会什么Loid和Password未设置。

如果想改回默认模式可以直接打开上面的地址，点击“转成路由”即可。

---

光猫获取超级密码

1. 首先拔光纤，长按光猫背面Reset孔20秒以上，等所有指示灯慢闪熄灭后松开。
2. 登录到光猫，此时默认用户名CMCCAdmin和密码aDm8H%MdA即可登录
3. 登录后打开如下url，并打开控制台

   http://192.168.1.1/web/cmcc/gch/template_user.gch?nextpage=web/cmcc/gch/iot_advance_setting_t.gch

   搜索<div id="TR_Telnet" style="display: none;">，然后把后面的style="display: none;"删掉，回车，勾选左边多出来的启用Telnet，此时会有个http://192.168.1.1/web/cmcc/gch/telnetCfg_gch.gchPOST请求，显示为200就开好了Telnet。
4. 使用Telnet登录到光猫：telnet 192.168.1.1，用户名是root，密码是默认WiFi密码+aDm8H%MdA
   比如我的默认WiFi密码是656g9nmu，那么我的密码就是656g9nmuaDm8H%MdA，出现~ $即为登录成功。
5. 提权，直接输入su，密码是aDm8H%MdA，出现/ #即为登录成功。
6. 回到光猫Web页面，注册光猫，我这里是用Password登录，输入Password后等待进度条到头即可，中间不要断开Telnet。
7. 下发成功后解码配置文件：

   sidbg 1 DB decry /userconfig/cfg/db_user_cfg.xml

   然后最好是插个u盘，把解密出来的文件复制到u盘里面，里面包含了整机所有配置。
   解密的文件位于

   /tmp/debug-decry-cfg

8. 然后在解密的文件里面找一下下面的Row，里面就有超密

   <Row No="0">
   <DM name="ViewName" val="IGD.AU1"/>
   <DM name="Enable" val="1"/>
   <DM name="AppID" val="1"/>
   <DM name="User" val="CMCCAdmin"/>
   <DM name="Pass" val="B%sTh0gO"/>
   <DM name="Level" val="1"/>
   <DM name="Extra" val=""/>
   <DM name="ExtraInt" val="0"/>
   </Row>

9. 注册后root账户就不允许登录了，这个应该是写死的。但是可以用admin账号登录，密码是光猫SN，写在光猫背面贴纸上，全大写。进去之后提权的密码还是aDm8H%MdA。

参考：创维光猫SK-D743S河南移动桥接获取超密及tel密码，ftp路径，网页gch源代码。