Как только кто-нибудь найдёт вход в их админку, и скинет IP для добавления (заранее проверив, что с этого IP доступна админка со всеми настройками).

TR-069 - это жесть. Тут без инсайдеров не обойдёшься.

Я могу снова в domru-шных поковырятся прошивках, пары для TR069 абонентских устройств не великий секрет, но ещё раз повторю, толку от этого 0.

Если вы не сможете откликнутся/находится по адресу провайдерского оборудования, а это можно сделать только уломав хопы/свичи от конечного устройства абонента(со стороны WAN), до управляющего оборудования провайдера. Я могу представить что это можно сделать отравив DNS, но на такой разбой у нас не принято ходить(я надеюсь).

Среди результатов нашел роутер, который одновременно откликнулся на обычный порт и на 7547. Зашел на него, в настройках TR-069 указан url ACS сервера, логин, пароль за звездочками на сервер, так же логин и пароль на Connection Request (интересно, это входящее соединение на роутер?) и еще какие-то настройки.

Допустим, выгрузив конфиг с роутера, можно расшифровать оба пароля. Если даже получится расшифровать второй пароль, который на Connection Request, то очевидно что на 7547 не будет веб-интерфейса и туда нужно пихать некий эксплоит.

В общем, тут моих скромных познаний явно не хватает. Не поделитесь ресурсами для изучения?

Вот тут коротенько: https://ru.wikipedia.org/wiki/TR-069

https://www.broadband-forum.org/technical/download/TR-069_Amendment-5.pdf

Действительно на порту 1050 ОЧЕНЬ много роутеров висит. Определяются как dirname.

В посте https://forum.antichat.ru/threads/398971/page-33#post-3861078 указаны пароли. При попытке зайти по ip отрывается страница авторизации. вводишь логин пароль вылазит пустая страница то-есть авторизация проходит. Осталось только действительно убедить роутеры что ты пров.

Наверное это в принципе возможно. Кто-то этим ведь пользуется.

"Если хакер скомпрометирует ACS-сервер, он сможет получить информацию с подконтрольных серверу маршрутизаторов, в том числе имена и пароли беспроводных сетей, MAC-адреса аппаратного обеспечения, данные учетных записей VoIP, логины и пароли администраторских учетных записей... Подробнее: https://www.securitylab.ru/news/456326.php"

https://xakep.ru/2016/11/25/eir-d1000-flaw/ есть описание эксплоита протокола TR-069 для ZyXEL Eir D1000 сам эксплоит https://github.com/XiphosResearch/exploits/blob/master/tr-06fail/tr-06fail-ssh-d1000.py возможно его можно адаптировать для других устройств.

Если у кого есть возможность побробывать. http://www.f1cd.ru/press_release/488 ACS сервер от D-Link

http://ciscoacs.blogspot.ru/2014/08/acs-5.html ACS сервер от Cisco Они под Linux устанавливаются и моих знаний не хватит.

"Под звездочками" Щелкнуть на этом поле правой кнопкой и выбрать исследовать элемент. Потом вместо типа password написать text и если поле не пустое видно будет пароль. Ради такого случая могу переключиться на dom/ всеравно хотел проверить что у них там изменилось. Вот только не гарантии что дадут такое оборудование.... Думаю что с 069 все актуальнее становится...... Печалька короче..........

Что нибудь выяснилось?

Особо пока не смотрел. Видел только, что вы напрямую обращаетесь к GUI из потоков, чего делать не стоит.

P.S. И, пожалуйста, не заливайте на этот файлообменник.