教你成功突破電信限制路由器(RG100A-BA)的功能

　　在本文我將破解路由的方法跟大家分享下，這裡我使用的路由型號為RG100A-BA，不是這個型號的也建議你們看看，我估計電信無線路由的破解思路都是差不多的，感興趣的朋友不要錯過

　　通過網絡上搜索得知電信寬帶贈送的無線路由器是有一個一個隱藏的超級管理員帳號，這個帳號對應的權限是許多非常實用的隱藏功能，本人試了下網上的默認密碼nE7jA%5m，對我的路由根本不能用，而且網絡上也並沒有關路由的破解方法(拆機的除外)。在這裡我將破解路由的方法跟大家分享下，這裡我使用的路由型號為RG100A-BA，不是這個型號的也建議你們看看，我估計電信無線路由的破解思路都是差不多的。

　　首先，在破解你的路由前果斷的把電話線拔了，因為電信路由默認設置裡有一項是每隔一段時間上報你路由的設置，並將路由的設置與服務器同步,而且網上有人說電信發現你在破解的話會封你的路由器，所以為了安全起見，把電話線拔了好點。

　　下面使用電信提供給你的用戶帳號進入路由器(這裡我的路由的IP地址為http://192.168.1.1)，帳號一般為useradmin。進入之後我們打開http://192.168.1.1/backupsettings.conf這個鏈接，這個鏈接指向的就是路由器的配置文件，當你打開他後，浏覽器默認會下載這個文件，如果你使用的是IE的話，或許會提示無法獲取此文件，這時你只需使用下載工具，用下載工具下載上面的鏈接，下載完後使用記事本打開這個文件，搜索password，找到兩個password夾著的那串字符(從頭開始找，第一個就是)，那個就是密碼，我的是telecomadminXXXXX，這個就是超管的密碼了，帳號默認為 telecomadmin。用這個帳號密碼登陸後轉到遠程控制頁面，把遠程控制服務器地址改掉，隨便改成一個不存在的網址就可以了。不過我的路由器裡修改完沒有發現保存按鈕，其實這個是因為電信將頁面上的某些按鈕隱藏掉了，我們只需打開遠程控制的原網頁修改即可，網址為：http://192.168.1.1/tr69cfg.html。

　　下面為了防止電信再次改回來，我們需要將超管和普通用戶的密碼改掉(或許電信也會使用這種方法獲得超管的密碼，為了保險起見)，普通用戶密碼可以直接在路由器用戶管理裡修改。而超管的密碼需要在配置文件中修改，修改方法可以使用超管賬號登陸，找到USB備份，插入U盤到路由器上，將配置文件配份下來，打開搜索超管的密碼，搜索到後替換成你想要更改的密碼就可以了。然後通過備份頁的恢復配置，就更改完成了超管密碼了。(我的路由器中備份出來的配置文件是經過加密了的，如果你會解密的話就在好不過了，解密配置文件，修改配置，最後一定要加密才能恢復。不過還有一個更簡單的方法，就是直接修改剛開始下載下來的backupsettings.conf文件，這個就是正在使用的配置文件，直接將裡面的原密碼替換掉，就可以起到更改密碼的作用，不過我路由器中上傳的頁面依舊被電信隱藏掉了，需要打開隱藏頁面：http://192.168.1.1/updatesettings.html就可以上傳了。)

　　修改完後就應該已經脫離了電信的魔爪了，除非電信偷偷在你的路由中安裝了一個隱藏的後門。仔細看看，這個路由裡的功能還不少喃，大家在修改前請記住一點，一定得找個記事本將原版的數據記錄下來，否則修改錯了，連不上網就悲劇了。

　　寫到這裡，估計大家都會有想問：我，你是怎麼找到配置文件的地址，怎麼找到隱藏頁面的喃?呵呵下面開始講解破解的思路：

　　首先查看登陸頁面源碼，看看源碼中是否含有超管密碼，在我路由的登陸頁面中並沒有密碼。下面登陸useradmin帳號，繼續查看源碼，在源碼中我發現一處地方爆出了超管的用戶名為telecomadmin，看來電信沒有更改超管帳號，但是密碼在源碼中並沒有提到。不過在切換不同頁面時發現網頁的網址一直為 http://192.168.1.1/main.html，這就表示所有查看到的頁面都是通過main.html載入的，所看到並不是原頁面，也就是說 main.html只是一個框架而已。下面找到所有原頁面打開看看，找原頁面的地址只需右擊main上的按鈕選擇屬性，裡面寫有頁面源地址。不過打開後發現所有內容跟原來從main中看到的一樣，這就代表main並沒有過濾掉網頁的信息，但是在尋找過程中發現，有部分網頁地址前面都有一個ct，我們試試將 ct去掉後在訪問網頁看看，果然，在設備信息頁面發現了與main不同的地方，多出了上行速率、下行速率，板卡ID等等信息，看來沒有找錯，由此也說明電信並沒有禁止useradmin用戶訪問隱藏頁面。不過找到了隱藏頁面後還是沒有找到超管密碼，怎麼辦喃?

　　不知道大家有沒有注意，在登陸帳號時，提交登陸的網址為http://192.168.1.1 /login.html?username=useradmin&password=XXXXX，這個是一個典型動態頁面的提交方式，也就是說超管的帳號密碼是存儲在數據庫裡的，在網站源碼中是不可能找到的。剛開始的時候我也沒注意到，知道網頁提示我登陸過期，請重新登陸，然後我使用opera登陸的時候卡在這個頁面了，這才發現它是使用數據的。

　　既然是使用數據庫，我們開始試試能否將數據庫下載下來，以此得到超管的密碼，既然是向數據庫提交數據的話，那肯定是使用抓包工具獲得數據提交地址喽，抓完包後發現，提交的地址為http://192.168.1.1 /backupsettings.conf看來這個路由使用的不是數據庫文件。下面的將他輸入到浏覽器中下載它(記住得登陸後才能下載)下載以及獲得密碼的方法上面寫過了，這裡就不提了。

　　下面使用超管帳號登陸，登陸的時候再次抓個包看看，你會發現很多驚喜。數據包中將所有隱藏頁面的地址都顯示出來呦!至此路由的破解就此完成了。

　　在這裡為了方便大家，提供一些路由器RG100A-BA可能會用到的隱藏頁面地址：

　　點擊收起導入配置文件位置http://192.168.1.1/updatesettings.html

　　關閉遠控頁面：http://192.168.1.1/tr69cfg.html

　　功能選擇頁面：http://192.168.1.1/scsrvcntr.cmd?action=view

　　配置文件地址：http://192.168.1.1/backupsettings.conf

　　ATM PVC配置：http://192.168.1.1/cfgatm.html

　　載入證書頁面：http://192.168.1.1/certloadsigned.html

　　導入CA證書：http://192.168.1.1/certimport.html

　　創建新證書請求：http://192.168.1.1/certadd.html

　　ADSL BER測試啟動：http://192.168.1.1/berstart.html

　　ADSL BER測試結果：http://192.168.1.1/berstop.html

　　WAN服務配置向導：http://192.168.1.1/wansrvc.html

　　WAN統計數據報表：http://192.168.1.1/statswan.html

　　接入時間限制：http://192.168.1.1/todmngrview.html

　　接口分組：http://192.168.1.1/portmap.html