环境：

• 光猫型号：ZXHN F6610M
• 移动宽带
• windows10

为了在家庭网络中配置光猫桥接，使用路由器拨号，需要获取到光猫超管密码。

准备工作

1. Windows 开启 telnet
2. 通过光猫背后铭牌中的 user 账户登录光猫后台，最重要的是记录 LOID 信息。另外也可以记录下 VLAN ID（可能没有）、PASSWORD认证、SN认证 等信息，能截图的都截下图。
3. 宽带账户密码。如果不知道就问客服
4. 下载工具：
   • https://github.com/Septrum101/zteOnu/releases

如果没有记录下 LOID，也可以用光猫背后铭牌信息试试，一般 LOID 与 GPON SN 号相同。也可以问客服

步骤

1、解锁tlenet

移动/联通/电信常见默认超管账户（仅供参考）

• 移动：CMCCAdmin/aDm8H%MdA

• 联通：CUAdmin/CUAdmin

• 电信：telecomadmin/nE7jA%5m

光猫注册后运营商会下发配置修改超管密码，并且 telnet 端口也会被关闭。

首先需要重置光猫，这样就能使用 zteOnu 工具进行 telnet 连接：

1. 使用网线连接电脑和光猫 LAN1口 或 LAN3口

2. 将电脑网卡的MAC地址改为 000729553557。Windows控制面板 -> 网络和共享中心 -> 更改适配器设置 -> 双击以太网 -> 属性 -> 配置 -> 高级 -> “网络地址”中填写（无需冒号）

   

3. 在cmd窗口中运行 zteOnu

   C:\Users\Administrator>F:\test\delete\zteOnu_0.0.7_windows_386\zteOnu.exe  --telnet --user CMCCAdmin --pass aDm8H%MdA --ip 192.168.1.1 --port 80
   ZteONU 0.0.7, built at 2024-10-13T08:29:47Z
   source: https://github.com/thank243/zteOnu
   -----------------------------------
   step [0] reset factory: ok
   step [1] request factory mode: ok
   step [2] send sq: ok
   step [3] check login auth: ok
   step [4] enter factory mode: ok
   -----------------------------------
   Permanent Telnet succeed
   user: root, pass: Zte521
   wait reboot..
   

4. 重启光猫，用 telnet 连接光猫，账户是上面获取到的 root/Zte521

   `cmd
   C:\Users\Administrator>telnet 192.168.1.1

   F6610M
   Login: root
   Password:

BusyBox v1.17.2 (2023-11-22 19:30:56 CST) built-in shell (ash)
Enter ‘help’ for a list of built-in commands.

/ #

也可以用工具进行解锁： [中兴Telnet开启工具（第一款）](http://hackliu.com/wp-content/uploads/2025/02/%E4%B8%AD%E5%85%B4Telnet%E5%BC%80%E5%90%AF%E5%B7%A5%E5%85%B7%EF%BC%88%E7%AC%AC%E4%B8%80%E6%AC%BE%EF%BC%89.zip)（[来源](https://hackliu.com/?p=258)）



## 2、固化 telnet

> zteOnu 有固化的逻辑，使用 zteOnu 解锁 telnet 的可以忽略本步骤

zteOnu固化的相关源码：

```go
// github.com/Septrum101/zteOnu/blob/master/app/telnet/telnet.go
func (t *Telnet) modifyDB() error {
    // set DB data
    prefix := "sendcmd 1 DB set TelnetCfg 0 "
    lanEnable := prefix + "Lan_Enable 1"
    tsLanUser := prefix + "TSLan_UName root"
    tsLanPwd := prefix + "TSLan_UPwd Zte521"
    maxConn := prefix + "Max_Con_Num 3"
    initSecLvl := prefix + "InitSecLvl 3"

    // save DB
    save := "sendcmd 1 DB save"

    if err := t.sendCmd(lanEnable, tsLanUser, tsLanPwd, maxConn, initSecLvl, save); err != nil {
        return err
    }

    return nil
}

---

进入 telnet 先查看下 TelnetCfg 数据库：

/ # sendcmd 1 DB p TelnetCfg
<Tbl name="TelnetCfg" RowCount="1">
        <Row No="0">
                <DM name="Wan_Enable" val="0"/>
                <DM name="Lan_Enable" val="0"/>
                <DM name="TS_Port" val="23"/>
                <DM name="TSLan_Port" val="23"/>
                <DM name="TS_UName" val="******"/>
                <DM name="TS_UPwd" val="******"/>
                <DM name="TSLan_UName" val="******"/>
                <DM name="TSLan_UPwd" val="******"/>
                <DM name="Max_Con_Num" val="2"/>
                <DM name="ProcType" val="0"/>
                <DM name="WanWebLinkToTS" val="0"/>
                <DM name="ExitTime" val="5"/>
                <DM name="InitSecLvl" val="0"/>
                <DM name="CPMode" val="0"/>
                <DM name="SepMode" val="0"/>
        </Row>
</Tbl>

依次设置进行固化操作，最后保存并重启光猫：

# 开启LAN侧telnet功能，允许局域网访问
sendcmd 1 DB set TelnetCfg 0 Lan_Enable 1
# 设置 telnet 登录后的权限等级，0-最低权限、3-最高权限
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 3
# 设置最大同时连接数
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 5
# 上面设置入库
sendcmd 1 DB save
# 重启光猫
reboot

对应的恢复命令：

sendcmd 1 DB set TelnetCfg 0 Lan_Enable 0
sendcmd 1 DB set TelnetCfg 0 InitSecLvl 0
sendcmd 1 DB set TelnetCfg 0 Max_Con_Num 2
sendcmd 1 DB save
reboot

可以修改 LAN 侧telnet账户密码以提高安全性：

# 替换成实际密码
sendcmd 1 DB set TelnetCfg 0 TSLan_UPwd ******
sendcmd 1 DB save

3、光猫注册

进入光猫管理页面 http://192.168.1.1，使用默认超管登录，我这里是移动宽带

需要配置LOID、以及Internet连接中的宽带账户密码：

配置好后插入光纤，重启，等待注册

4、获取超管密码

下载 ztecfg.exe 工具，用于对中兴光猫配置文件进行解密

将光猫中的telnet配置文件下载到本地并解密：

在windows 端开启 tftp 服务，进入光猫 telnet 并运行：

# 替换成windows以太网ip地址
tftp -p -l /userconfig/cfg/db_user_cfg.xml -r db_user_cfg.xml 192.168.1.3

对下载的配置文件进行解密：

ztecfg.exe -d AESCBC -i ./db_user_cfg.xml -o break.cfg

打开 break.cfg 文件，搜索 DevAuthInfo 即可查看光猫后台账号相关配置信息：

<Tbl name="DevAuthInfo" RowCount="6">
<Row No="0">
<DM name="ViewName" val="IGD.AU1"/>
<DM name="Enable" val="1"/>
<DM name="AppID" val="1"/>
<DM name="User" val="CMCCAdmin"/>
<DM name="Pass" val="aDm8H%MdA"/>
<DM name="Level" val="1"/>
<DM name="Extra" val=""/>
<DM name="ExtraInt" val="0"/>
<DM name="ForceCheck" val="0"/>
</Row>

我这里的超管密码仍然是默认的，暂时还没被修改

其他重要配置信息：

• TelnetCfg：光猫中 telnet 相关配置信息

  <Tbl name="TelnetCfg" RowCount="1">
  <Row No="0">
  <!-- 公网/外部网络：关闭 Telnet -->
  <DM name="Wan_Enable" val="0"/>
  <!-- 内网/LAN口：开启 Telnet -->
  <DM name="Lan_Enable" val="1"/>
  <DM name="TS_Port" val="23"/>
  <DM name="TSLan_Port" val="23"/>
  <!-- WAN 侧账户和密码 -->
  <DM name="TS_UName" val="root"/>
  <DM name="TS_UPwd" val="ZTEGD***"/>
  <!-- LAN 侧账户和密码 -->
  <DM name="TSLan_UName" val="root"/>
  <DM name="TSLan_UPwd" val="Zte521"/>
  <DM name="Max_Con_Num" val="3"/>
  <DM name="ProcType" val="0"/>
  <DM name="WanWebLinkToTS" val="0"/>
  <DM name="ExitTime" val="5"/>
  <DM name="InitSecLvl" val="3"/>
  <DM name="CPMode" val="0"/>
  <DM name="SepMode" val="0"/>
  </Row>
  

其他

命令

# 查看所有地区编号
cat /etc/init.d/regioncode

# 查看当前地区
cat /userconfig/flag_type

中兴光猫通用命令

# 查看光猫cpu使用率
cat /proc/cpuusage
# 查看设备温度
cat /proc/tempsensor
# 查看固件版本
upgradetest getver
# 查看硬件信息
cat /proc/capability/boardtype

# 以十六进制字节显示本机的各种串码等基本信息
setmac show
# 明文显示本机的各种串码等基本信息
setmac show2

sendcmd

中兴光猫（ZXHN系列）的 sendcmd 标准语法是：

sendcmd <instance_id> DB <operation> <table_name> <row_id> <field> <value>

# 查看设备总览
sendcmd 1 DB p DevInfo

参考

• https://github.com/Septrum101/zteOnu
• https://gitcode.com/open-source-toolkit/78cc4
• https://hackliu.com/?p=258
• https://blog.csdn.net/gsls200808/article/details/132805857
• https://www.right.com.cn/forum/thread-8163087-1-1.html
• https://www.right.com.cn/forum/thread-8393194-1-1.html
• https://www.77bx.com/71.html
• https://blog.nkxingxh.top/archives/310/