获取LAU-G150-C光网络终端Shell的实战记录

光网络终端（ONT）是将光纤信号转换为以太网信号的设备，通常搭载运营商定制固件。本文记录了针对未公开型号Link-All LAU-G150-C的硬件破解过程。

获取UART访问权限

LAU-G150-C外观类似华为HG8010H，但硬件防护较强。直接以太网连接尝试192.168.100.1等常见IP均失败。拆解后发现隐藏螺丝（技巧1：注意贴纸下的螺丝！），主板暴露GND/RX/TX（疑似UART）和SCL/SDA（疑似I2C）接口。

使用万用表和逻辑分析仪时，单独测试RX端口得到乱码。最终同时连接GND和RX端口，以115200 Hz波特率成功捕获数据（技巧2：串口测试需同步接地！）。启动时显示Bootloader信息：

1
2
3
4
5
6
7
8

9601D
PRELOADER Bismarck 3.5
II: LPLR:1012, PLR:9aa5a8d9, Build_date:21080422, Toolkit:rsdk-1.5.6-5281-EB-2.6.30-0.9.30.3-131105
...
U-Boot 2011.12.NA-svn35647 (Aug 04 2021 - 22:50:21)
Board: RTL9601D, CPU:300MHz, LX:200MHx, MEM:325MHz, Type:DDR2
DRAM: 32 MB
SPI-NAND Flash: 2C14/Mode0 1x128MB

未中断自动启动则进入Linux系统：

1
2
3
4

Starting kernel ...
BusyBox v1.12.4 (2024-10-16 16:46:28 CST) built-in shell (ash)
Enter ‘help’ for a list of built-in commands.
#

Shell解锁成功！

获取网络访问权限

通过ip addr检查网络接口，发现eth0无IP地址。手动设置IP后仍无法ping通。Wireshark监控发现ONT可发出ping包但未接收响应。检查iptables规则发现丢弃telnet/http流量，但未解释ICMP失败原因。

转而检查ebtables（二层过滤）：

1
2
3

# ebtables -L
Bridge chain: portmapping, entries: 9, policy: ACCEPT
-i eth0+ -j DROP

规则-i eth0+ -j DROP丢弃所有以太网接口接收的转发流量（技巧3：检查所有网络过滤规则！）。使用ebtables -F和iptables -F清除规则后，需将IP地址设置在br0接口（与eth0共享MAC）：

1
2

ip addr add 192.168.100.1/24 dev br0
ip link set br0 up

此时可通过以太网进行网络通信。

探索Web接口

进程分析显示hiproc负责Web控制台。检查/proc/572/net/tcp发现端口40131（十六进制9CC3）。浏览器访问返回：

1
2

HTTP/1.0 403 Forbidden
Server: Boa/0.93.15

通过Ghidra逆向分析hiproc二进制文件，发现Web控制台虽被禁用，但以/etc为服务器根目录，可直接访问/etc/passwd等文件。

后续步骤

提取所有配置文件和二进制后，需进一步逆向分析。本文为未公开ONT设备提供了访问方法，后续将发布更多硬件破解技巧。