menu
ciaoℒy
记一次修改DiyBox的经历(openwrt固件解包与打包)

access_time
brush 1306个字
whatshot 408 ℃
百度收录:百度已收录

### 吐槽几句 做技术的有无私造福人类的,也有耍流氓坑人的。说的不是DiyBox,而是“信利信利就是一家犯贱、祸害大学生、助纣为虐的流氓公司,其所谓的“防私接”技术让电信和移动牢牢的垄断着学校的宽带资源,还让学生花费了大量的冤枉钱。

当然,有狗熊的时代就会有英雄的存在。有miao1007 开源的Openwrt pppd plugin和 sunflyersimple netkeeper ,以及stawidy的抓号脚本 等等其他各路英雄的无私贡献。 而我就是一个乘着英雄带来的东风丰衣足食的小白,身边很多朋友和同学苦于信利的流氓行为而选择了购买那些溢价比OV手机还要高的“校园路由器”,这其中 DiyBox就是一家。我最看不惯的是有技术的人无私的开源、没点能力的人借着流氓的犯贱和小白的懵懂去攫取暴利。17年的五月开始,我们学校的移动宽带进行了升级,老版本的pppd 插件直接不能用了,这让很多同学的路由器成为了废品。而我在帮别人升级时,发现了 DiyBox的存在。


我修改的DiyBox固件是老版本的固件,看文件的日期还是15年11月的。界面是漂亮的Material主题,添加了“校园网认证”(jiaju)入口。总体给我的感觉是这个固件做的很不错:“校园网认证”将“时间”和“拨号”两界面合二为一,使用方便; 还添加了“硬件+授权码”的激活方式,很适合商用; 剔除“dropbear”和“telnetd”,有效防止了用户的乱操作。不足是使用了breeed,如果有自己的bootloader相必会更难破解。


解包与打包

初拿到这款路由器(DiyBox)我是很无奈的,虽然可以使用Breed直接刷机,可是这样子感觉浪费了DiyBox的一些“好设计”。我采取的方式是使用breed获取到整个路由器的编程器固件后,再使用 dd 将编程器固件的各分区分开,使用对应的工具解包获取原文件来研究和修改。

  1. 获取编程器固件
  2. 使用binwalk 获取固件的分区格式和偏移量 ,命令大致如下所示, binwalk full.bin 看懂binwalk 的输出很有用,binwalk的输出每一行的前两列分别是十进制和十六进制的“偏移量”,LZMA compressed data 一般是内核,Squashfs filesystem 是rootfs,该分区只读JFFS2 filesystem 是保留路由器的用户配置的分区,清空该分区即意味着“恢复出厂设置”……(还有一些别的,我也不好举例了)
  3. 使用dd将各部分分开
    
    dd if=full.bin of=xx.bin bs=1 skip=xxx count=xxx 
    #if是原固件,of是输出文件,bs是单位长度,skip是偏移量,count是分区大小 ```
    4. 使用 ``` unsquashfs ``` 解包rootfs 
    ​``` unsquashfs rootfs.bin ```
    5. 到目录 squashfs-root 下查看与分析固件

当然,使用 binwalk -e 能直接解包固件,使用 firmware-mod-kit(传闻中的fmk) 也可以直接解包,当然后者集成了大量的自动化工具,很是方便。 另注: fmk在解包固件时建议使用 dd 将编程器固件分解成 “sysgraude 包” ,即只保留内核和rootfs的包,尤其是报 Unsupported file system 'jffs2'! Quitting... 错误时。

打包过程是上述的逆向:

  1. 使用 mksquashfs 打包rootfs
    mksquashfs squashfs-root rootfs.squashfs -comp xz #squashfs-root指定目录,rootfs.squashfs指定输出文件,-comp xz 说明压缩方式为 xz ,视binwalk的输出而定。
  2. 使用 lzma 压缩内核 ​lzma -k ./head #内核部分一般不解压,lzma压缩时目录名视情况而定
  3. 使用 cat 拼接各部分 ​cat head.lzma rootfs.squashfs > sysgradue.bin

小注: 使用fmk解压后在 image_parts 目录下的header.img即是原固件的内核,rootfs.img既为原固件中的rootfs,可以直接使用。


以上是解包和打包固件的步骤,下面是改造DiyBox。

修改DiyBox的认证

DiyBox在“未授权”情况下弹出的“认证页面”不是标准的openwrt认证页而是“DiyBox授权页”。但是它们的框架是一致的,所以定位到luci框架的认证页面模板: /usr/lib/lua/luci/view/sysauth.htm ,打开这个文件可以找到以下代码:

local uid_key = tonumber(uci:get("jiajuset", "zgwl", "uidkey"))

………………

<% if uid_key == 0 then %>

<form method="post" name="cert" onsubmit="writecode()"">

    <div class="cbi-map">
        <h2 name="content"><%:Authorization Required%></h2>
        <div class="cbi-map-descr">
            <p class="error"><%:路由器的授权信息无效或需要升级,请输入新的授权信息。%></p> 
………………

打开 /etc/config/jiajuset 可以看到 zgwl 接口下的 uidkey 的值(因为此时是解包的rootfs,所以这个值是全新刷机后的“缺省值”) 是‘0’。所以可以断定,当这个uidkey是 0 时便视为“设备未授权”,直接将 sysauth.htm 中的 uid_key == 0 改为 uid_key == 100,解决。

DiyBox的授权认证过程

  从入口开始分析,在访问路由器的web页面时,首先加载 sysauth.htm 中的lua代码,获取“uid”和“jiajuset.zgwl.uidkey”的值。其中 uid 的获取是通过以下代码:
local uid = luci.sys.exec("echo `dmesg | grep 'flash id' | awk -F 'flash id: ' '{print $2}'`")
  在输入了“授权信息”、按下提交按钮后,表单提交到 sysauth.htm ,它会获取输入的“授权信息”并将配置“jiajuset.zgwl.luidcode”设置为输入的“授权信息”,之后调用JS函数 writecode() , 此函数会打开固件中 /www/cgi-bin/uuid 文件,这个文件是一个shell脚本。   打开uuid脚本,可以看到此脚本除了向浏览器发送一堆的交互信息外,会调用到 /usr/share/uuid/uuidcheck 文件,并将 /usr/share/uuid/下的1 2 3 着三个文件作为参数传给 uuidcheck 这个程序。最后调用 uuidcheck 检查授权结果。   可见这个uuidcheck是一个校验的关键,以后找个时间再反编译以下它研究研究吧。


另外,这个固件的“系统日志”功能有所修改,还没研究透,待补充。   

#如无特别声明,该文章均为 ciaoℒy 原创,转载请遵循 署名-非商业性使用 4.0 国际(CC BY-NC 4.0) 协议,即转载请注明文章来源。
#最后编辑时间为: 2019 年 10 月 12 日


create 添加新评论


account_circle
email
language
textsms





关于 DreamCat

主题名称:DreamCat | 版本:2.10.230801_LTS

主题开发:HanFengA7 | TeddyNight | Dev-Leo | CornWorld | WhiteBearcn | DFFZMXJ

Designed by HanFengA7 Power by Typecho

Copyright © 2015-2024 by LychApe

加我的QQ
加我的微博
加我的支付宝
加我的微信