sskaje's blog, study & research on technology
Just for fun.
前一篇,看到了https的协议内容,其中使用了 ota check 检查固件版本,但是实测返回出来的内容是一个只有3k不到的 HDR 开头的文件,猜测这个文件应该是一个加密或者压缩后的response,例如json。
ota这个命令在 /bin/ota,本身是个 shell 脚本,直接读内容,可以看到所有的命令调用的都是 matool 以及它的各个 symlink。其中命令
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
case "$1" in success) set_upgrade_status success ;; check) check ;; ble) check_and_upgrade $2 $3 $4 ;; upgrade) check_and_upgrade $2 $3 $4 ;; slient) slient_check_and_upgrade ;; *) esac |
执行 ota ble,输出如下。(输出被我掐了,因为我怕直接进了更新,就没法调试了)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
root@L07A:~# ota ble --2021-04-13 16:19:53-- https://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/l07a/mico_skr_firmware_xxxx_1.76.2.bin Resolving cdn.cnbj1.fds.api.mi-img.com... 220.194.223.76, 123.125.46.228, 2408:8706:0:5700:40::3, ... Connecting to cdn.cnbj1.fds.api.mi-img.com|220.194.223.76|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 2560 (2.5K) [application/octet-stream] Saving to: '/tmp/mico_ota.bin' /tmp/mico_ota.bin 100%[=========================================================================================================================================>] 2.50K --.-KB/s in 0.001s 2021-04-13 16:19:53 (3.94 MB/s) - '/tmp/mico_ota.bin' saved [2560/2560] Start downloading kernel : 100% Start downloading rootfs : 100% ^C |
从charles里拿到rootfs的下载链接,找个linux下下来,直接 squashfuse rootfs_1.76.2_xxxxxx.bin /mnt/ 挂载了,可以看数据。
回过头来,研究协议和算法。
从 ota 这个脚本里看到,执行升级的时候,先把那个小文件下载为 /tmp/mico_ota.bin,再用 /bin/flash.sh /tmp/mico_ota.bin 。再从整个squashfs里找 “Start downloading” 这个字符串,发现在 /bin/skr 里。
再细看里边的代码,最终发现解包命令 miso -x xxx.bin,就在调用 skr 命令的前几行。解包完的目录里多了三个文件
|
1 2 3 4 |
-rw-r--r-- 1 root root 559 Apr 13 16:38 mico_l07a_firmware.json -rw-r--r-- 1 root root 396 Apr 13 16:38 system.cfg -rw-r--r-- 1 root root 780 Apr 13 16:38 version |
其中 .json 文件里包含了 kernel 和 rootfs的下载链接。
再一个,检查更新的接口有个参数s,是一个签名参数。先ldd
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 |
root@L07A:~# ldd /usr/bin/matool /lib/ld-musl-armhf.so.1 (0xb6f44000) libxiaomi_mico.so => /usr/lib/libxiaomi_mico.so (0xb6f08000) libxiaomi_miot.so => /usr/lib/libxiaomi_miot.so (0xb6ef3000) libmico-common.so => /usr/lib/libmico-common.so (0xb6ed0000) libxiaomi_http.so => /usr/lib/libxiaomi_http.so (0xb6eba000) libxiaomi_json.so => /usr/lib/libxiaomi_json.so (0xb6ea6000) libxiaomi_crypto.so => /usr/lib/libxiaomi_crypto.so (0xb6e8b000) libssl.so.1.0.0 => /usr/lib/libssl.so.1.0.0 (0xb6e37000) libxiaomi_utils.so => /usr/lib/libxiaomi_utils.so (0xb6e04000) liblibma.so => /usr/lib/liblibma.so (0xb6de9000) libblobmsg_json.so => /lib/libblobmsg_json.so (0xb6dd6000) libcurl.so.4 => /usr/lib/libcurl.so.4 (0xb6d8a000) libglog.so.0.3.5 => /usr/lib/libglog.so.0.3.5 (0xb6d57000) libjson-c.so.2 => /usr/lib/libjson-c.so.2 (0xb6d3f000) libmbedtls.so.9 => /usr/lib/libmbedtls.so.9 (0xb6cf3000) libubox.so => /lib/libubox.so (0xb6cda000) libubus.so => /lib/libubus.so (0xb6cc4000) libz.so.1 => /usr/lib/libz.so.1 (0xb6ca3000) libcrypto.so.1.0.0 => /usr/lib/libcrypto.so.1.0.0 (0xb6b76000) libuuid.so.1 => /usr/lib/libuuid.so.1 (0xb6b62000) libglib-2.0.so.0 => /usr/lib/libglib-2.0.so.0 (0xb6a70000) libgobject-2.0.so.0 => /usr/lib/libgobject-2.0.so.0 (0xb6a24000) libiconv.so.2 => /usr/lib/libiconv.so.2 (0xb69d9000) libintl.so.8 => /usr/lib/libintl.so.8 (0xb69c0000) libthrift_c_glib.so.0 => /usr/lib/libthrift_c_glib.so.0 (0xb698e000) libstdc++.so.6 => /lib/libstdc++.so.6 (0xb688d000) libgcc_s.so.1 => /lib/libgcc_s.so.1 (0xb6873000) libc.so => /lib/ld-musl-armhf.so.1 (0xb6f44000) libconfig.so.11 => /usr/lib/libconfig.so.11 (0xb685a000) libnghttp2.so.14 => /usr/lib/libnghttp2.so.14 (0xb682e000) libpcre.so.1 => /usr/lib/libpcre.so.1 (0xb67e3000) libffi.so.6 => /usr/lib/libffi.so.6 (0xb67cf000) root@L07A:~# |
再根据请求的关键词 countryCode,找到固件版本检查的接口构造方法在 libxiaomi_mico.so 里,ida 加载后发现一个 uuid “8007236f-a2d6-4847-ac83-c49395ad6d65”,
|
1 2 3 4 |
... sub_2202C(&v87, "8007236f-a2d6-4847-ac83-c49395ad6d65"); xiaomi::mico::api::UpgradeAPI::computeS(&v84, &v67, &v87); ... |
Google一搜,好多不同的小米设备都是用这个。大致算法如下
|
1 2 3 4 5 6 |
<?php $s = 'channel=release&countryCode=CN&filterID=序列号/序列号&locale=zh_CN&platform=L07A&version=1.70.8&8007236f-a2d6-4847-ac83-c49395ad6d65'; $b = base64_encode($s); $m = md5($b); var_dump(strtoupper($m)); |
前盖有内扣,拆好之后直接引三根针出来就可以ttl了。
密码 : substr(md5($SN . “5775B10D-15C0-7827-97B9-88EA07FCA97A”), 0, 14),hash salt在 /bin/mi_console 里写死了,根据设备型号判断。
串口波特率115200.
手动启动 ssh。
|
1 2 3 |
cd /tmp dropbearkey -t rsa -f dropbear_rsa_host_key dropbear -r dropbear_rsa_host_key |
劫持流量,发现客户端不认第三方的https证书,错误提示是 SSL handshake with client failed: CA certificate could not be matched with a known, trusted CA (unknown_ca)。查了下libxiaomi_http.so,设置了CURLOPT_CAPATH /etc/ssl/certs,然而系统本身是squashfs直接挂载的ro,所以需要曲线救国。
ldd 查看 libxiaomi_http.so,发现引用了 libmbedtls.so libssl.so libcrypto.so,libcurl 的 vtls 里看了下实现,用了 这个函数,同时对比了各个实现,决定还是手工加一下证书。
鉴于系统是readonly挂载的,所以上 overlay 。
|
1 2 3 |
cd /tmp mkdir certs workdir mount -t overlay -o lowerdir=/etc/ssl/certs,upperdir=/tmp/certs,workdir=/tmp/workdir none /etc/ssl/certs/ |
这样就可以在 /tmp/certs 里加证书,实现自定义ca。
具体操作我是在一台ubuntu上,把证书pem 文件命名为 .crt后缀放在 /usr/local/share/ca-certificates 下然后执行 update-ca-certificates 再去看 /etc/ssl/certs 里的symlink的hash。
我开发机的charles ca 证书 hash 是 6a3a5fb6.0,所以在我的小爱音箱里,我把证书 pem 文件copy到 /tmp/certs 然后 创建symlink。
|
1 2 3 |
cp xxxxxx /tmp/certs/dev-charles.pem cd /tmp/certs ln -s dev-charles.pem 6a3a5fb6.0 |
再执行 ota check 的实话,观察charles,已经能看到ssl的请求了。
正在寻求ES的轻量化解决方案,看到了meilisearch,于是上手实验了一把。留了个systemd 配置笔记。
原始安装文档 https://docs.meilisearch.com/guides/advanced_guides/installation.html,官方给的 apt 的安装只有二进制文件,没有配置文件没有启动脚本。
简单来
/etc/default/meilisearch
|
1 2 3 4 5 |
MEILI_DB_PATH=/var/lib/meilidb MEILI_HTTP_ADDR=127.0.0.1:7700 MEILI_MASTER_KEY=my-prod-key MEILI_ENV=production MEILI_NO_ANALYTICS=1 |
/etc/systemd/system/meilisearch.service
|
1 2 3 4 5 6 7 8 9 10 11 |
[Unit] Description=MeiliSearch After=systemd-user-sessions.service [Service] EnvironmentFile=/etc/default/meilisearch Type=simple ExecStart=/usr/bin/meilisearch [Install] WantedBy=default.target |
启动
|
1 2 |
systemctl daemon-reload systemctl start meilisearch |
北方自采暖家庭,用的还是最早开发商装的菲斯曼的壁挂燃气炉。2014年重装修时,没有下定决心更换壁挂炉,只是换了一个曼瑞德(manred)的无线温控器。
古老的温控器问题很多,例如屏幕显示效果差,老电阻屏的点击操作实在不灵,距离过远无法无线控制(南卧室北阳台),更可怕的是编程的规则掉电就没了。所以这个温控器最后沦为了无线开关,放在客厅,起床睡觉的时候自己点一下。
壁挂炉的温控逻辑很简单,只需要把两根控制线短接,壁挂炉就开始进行加热。
无线温控器的原理也很简单,室内的温控端基于温度规则发送控制信号,室外的接收器执行通断。所以,一个能接入米家的继电器就能将这款老旧壁挂炉接入小米的智能家居生态里。搜了下淘宝,这么简单的模块(USB供电,接入米家),能找到最便宜的49,我准备下单的时候还得等13天才发货。放弃,从头整理需求。
目标明确后,淘宝上了买了个5.2元人民币的 microUSB 供电的继电器,翻出了家里多余的一个带 USB 的小米蓝牙网关,一根USB线。
其实买错了,带了延迟功能,不重要,短接一下就好,否则要不按下按钮隔一会儿自动断开。
接线的时候,接 COM 和 NO 端。
这样一来,只要 USB 通电,继电器就工作,COM 和 NO 就接通了。如果想要默认接通,通电关闭,换用 COM + NC 的接线方式就行了。
接下来是米家的规则。App的智能 tab,创建规则。