移动吉比特系列光猫均可参考。

首先使用光猫背面信息，登录普通用户管理界面。

浏览器中按 F12 打开开发者窗口，刷新光猫页面，筛选一下 POST 请求，右键复制该请求为 cURL (bash) 格式，将复制的内容进行修改：地址替换为 http://192.168.1.1/boaform/set_telenet_enabled.cgi；--data 内容替换为 mode_name=set_telenet_enabled&nonedata=0.4767549073842374&user_name=root&user_password=admin&telenet_enabled=1&default_flag=1，记得 nonedata 的值要保留，不要替换。

在命令行中或者是终端中执行这个 curl 命令，返回 Success，这样 telnet 已经打开，用户名为 root，密码为 admin。

此时使用 telnet 登录光猫，编辑 /config/worka/lastgood.xml 文件，将 UserAccountPassword 配置项的值替换 TeleAccountPassword 的值，这样超级密码就和光猫背面的普通用户密码一样了。

现在需要将光纤拔掉，之后再重启光猫，就可以使用用户名 CMCCAdmin 与普通用户密码登录管理员账户。

参考链接：https://www.guaosi.com/2019/03/09/crack-china-mobile-optical-modem-h2-3/