@sskaje

古老壁挂炉接入米家App

By @sskaje
Link: https://sskaje.me/2020/11/gas-boiler-mi-home/

北方自采暖家庭，用的还是最早开发商装的菲斯曼的壁挂燃气炉。2014年重装修时，没有下定决心更换壁挂炉，只是换了一个曼瑞德（manred）的无线温控器。

古老的温控器问题很多，例如屏幕显示效果差，老电阻屏的点击操作实在不灵，距离过远无法无线控制（南卧室北阳台），更可怕的是编程的规则掉电就没了。所以这个温控器最后沦为了无线开关，放在客厅，起床睡觉的时候自己点一下。

壁挂炉的温控逻辑很简单，只需要把两根控制线短接，壁挂炉就开始进行加热。

无线温控器的原理也很简单，室内的温控端基于温度规则发送控制信号，室外的接收器执行通断。所以，一个能接入米家的继电器就能将这款老旧壁挂炉接入小米的智能家居生态里。搜了下淘宝，这么简单的模块（USB供电，接入米家），能找到最便宜的49，我准备下单的时候还得等13天才发货。放弃，从头整理需求。

温度控制：小米有温湿度计，可以贴在各屋墙上；
网络接入：小米的蓝牙网关插座可以接入家庭Wi-Fi，也可以用米家 App 控制交流电和 USB 供电的开关；
加热控制：一个简单的继电器，用通断电的方式，直接控制温控器控制线的短接状态。
智能规则：米家 App

目标明确后，淘宝上了买了个5.2元人民币的 microUSB 供电的继电器，翻出了家里多余的一个带 USB 的小米蓝牙网关，一根USB线。

其实买错了，带了延迟功能，不重要，短接一下就好，否则要不按下按钮隔一会儿自动断开。

接线的时候，接 COM 和 NO 端。

这样一来，只要 USB 通电，继电器就工作，COM 和 NO 就接通了。如果想要默认接通，通电关闭，换用 COM + NC 的接线方式就行了。

接下来是米家的规则。App的智能 tab，创建规则。

古老壁挂炉接入米家App by @sskaje: https://sskaje.me/2020/11/gas-boiler-mi-home/

TL-R470GP-AC v4.0 开启SSH

By @sskaje
Link: https://sskaje.me/2020/10/tl-r470gp-ac-v4-0-ssh/

不用折腾，真的不用折腾。上截图

端口隐藏了，我不确定 TP-Link 官方是否介意这个，所以只是给了个图上来。

我是把 1.1 的固件（1.1.0 Build 200831 Rel.44384n）翻了个遍，之前看到了改备份/配置文件的，再加上自己“经验”的开盒插 TTL，都没必要，固件里直接给了个功能。

系统工具 -》诊断工具 -》故障诊断 -》开启诊断模式。

重启，找到合适的端口，不是 22，能看固件就看固件吧，代码里写死了。

用户名 root ，密码参考下边的代码，来自 /etc/init.d/dropbear 的最前边几行

getNewPasswd()
{
	. /lib/functions.sh
	local macAddr=""
	macAddr=$(ubus call tddpServer getInfo '{"infoMask":1,"sep":"-"}' | sed 's/-//g' | jsonfilter -e '@.mac')
	echo "macAddr from tddp config is $macAddr" > /dev/console

	local key=$(echo -n "$macAddr" | md5sum)
	key=$(echo ${key:0:16})
	#echo "key is $key" > /dev/console

	echo ${key}
}

getNewPasswd()

{

. /lib/functions.sh

local macAddr=""

macAddr=$(ubus call tddpServer getInfo '{"infoMask":1,"sep":"-"}' | sed 's/-//g' | jsonfilter -e '@.mac')

echo "macAddr from tddp config is $macAddr" > /dev/console

local key=$(echo -n "$macAddr" | md5sum)

key=$(echo ${key:0:16})

#echo "key is $key" > /dev/console

echo ${key}

}

macAddr 是设备标签上写的 MAC 地址，全大写，没有横线或者冒号。

# macAddr=112233445566
# key=$(echo -n "$macAddr" | md5sum)
# key=$(echo ${key:0:16})
# echo $key
eb341820cd3a3485

# macAddr=112233445566

# key=$(echo -n "$macAddr" | md5sum)

# key=$(echo ${key:0:16})

# echo $key

eb341820cd3a3485

对于 MAC 地址是 112233445566 的设备，root 密码就是 eb341820cd3a3485 。

给个链接 https://rst.im/hash/112233445566，参考 md5(half) 这行

另外，一些其他信息。

Telnet，telnet是开不了的，因为固件的 /etc/passwd 里放了一个默认密码，而 telnet 的启动脚本检测了，只有各种都是空的情况才能自动开启 telnet。假设条件成立，telnet 的密码也是空，参考 /etc/init.d/telnet 的 start()

串口，依旧没搞定。

opkg，自带配置无效，有空再去看哪个源可以用。

root@TP-LINK:~# cat /etc/opkg.conf 
src/gz attitude_adjustment http://downloads.openwrt.org/attitude_adjustment/12.09-rc1/mtk/generic/packages
dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlay

root@TP-LINK:~# cat /etc/opkg.conf

src/gz attitude_adjustment http://downloads.openwrt.org/attitude_adjustment/12.09-rc1/mtk/generic/packages

dest root /

dest ram /tmp

lists_dir ext /var/opkg-lists

option overlay_root /overlay

wireguard，等 opkg 搞了再看

You are not authorised to read all content in this post. Please login…

TL-R470GP-AC v4.0 开启SSH by @sskaje: https://sskaje.me/2020/10/tl-r470gp-ac-v4-0-ssh/

TL-R470GP-AC v4.0 主板图

By @sskaje
Link: https://sskaje.me/2020/10/tl-r470gp-ac-v4-0-%e4%b8%bb%e6%9d%bf%e5%9b%be/

之前看到某论坛的历史记录，TL-R470GP-AC v1.0 跟当时的 gamer 上有人发的 MR100GP-AC 板子看上去一模一样，不愧是一家。

为了研究 TL-R470GP-AC 装 WireGuard，花260又买了一个新的，拆机。

然而，试了 J1 和 J4 的各种组合，都看不到串口数据。

TL-R470GP-AC v4.0 主板图 by @sskaje: https://sskaje.me/2020/10/tl-r470gp-ac-v4-0-%e4%b8%bb%e6%9d%bf%e5%9b%be/

TL-R470GP-AC 解密备份文件

By @sskaje
Link: https://sskaje.me/2020/09/tl-r470gp-ac-backup-file-decrypt/

TL-R470GP-AC 是 TP-Link 的一款基础的路由+PoE交换+AC的3合一设备。图省事和便宜给老家换了这套方案，配上3个 ax 的AP。但是这款设备没有看到第三方固件。

想研究开启SSH，所以先从改配置文件入手，但是配置文件是加密的，于是第一步回到定位加密算法或者直接解密/加密配置文件。所有试验均在ubuntu 18.04 下完成。

1 官网下载固件，binwalk -e 看固件，研究web 的 cgi 程序，可以定位到配置文件解密程序的可执行文件

2 file 看一下程序，mipsel

ELF 32-bit LSB executable, MIPS, MIPS32 version 1 (SYSV), dynamically linked, interpreter /lib/ld-uClibc.so.0, corrupted section header size

1	ELF 32-bit LSB executable, MIPS, MIPS32 version 1 (SYSV), dynamically linked, interpreter /lib/ld-uClibc.so.0, corrupted section header size

3 ubuntu 下安装qemu

apt install qemu binfmt-support qemu-user-static

1	apt install qemu binfmt-support qemu-user-static

4 准备执行环境，在 squash-root 里执行

cp $(which qemu-mipsel-static) bin/

1	cp $(which qemu-mipsel-static) bin/

5 复制备份文件文件到 squash-root 里，执行解密命令

chroot . qemu-mipsel-static usr/bin/xxxxx   -d -i /config.bin -o /config.tar.gz

1	chroot . qemu-mipsel-static usr/bin/xxxxx -d -i /config.bin -o /config.tar.gz

目前还没看到怎么开 SSH，能搞定的话，再去搞定 wireguard 就完美了。至于加密，有现成的工具可用。

接下来分析配置文件吧，全靠猜。

先看看tar包的内容

# tar tvf config.tar.gz 
drwxr-xr-x root/root         0  tmp/cfg_save/backconf_tmp/
-rw-r--r-- root/root        56  tmp/cfg_save/backconf_tmp/product_name_conf
-rw-r--r-- root/root        33  tmp/cfg_save/backconf_tmp/md5_sum_conf
-rw-r--r-- root/root     64517  tmp/cfg_save/backconf_tmp/tmp_conf.tar.gz
drwxr-xr-x root/root         0  tmp/cfg_save/backconf_tmp/backup/
-rwxr-xr-x root/root     20577  tmp/cfg_save/backconf_tmp/backup/uc.conf
-rw-r--r-- root/root     15791  tmp/cfg_save/backconf_tmp/backup/uc_conf.tar.gz
-rw-r--r-- root/root     44122  tmp/cfg_save/backconf_tmp/backup/non_uci.tar.gz