笔记 | @sskaje

红米音箱Play 开发调试实验 updating

By @sskaje
Link: https://sskaje.me/2021/03/%e7%ba%a2%e7%b1%b3%e9%9f%b3%e7%ae%b1play-%e5%bc%80%e5%8f%91%e8%b0%83%e8%af%95%e5%ae%9e%e9%aa%8c-updating/

前盖有内扣，拆好之后直接引三根针出来就可以ttl了。

密码： substr(md5($SN . “5775B10D-15C0-7827-97B9-88EA07FCA97A”), 0, 14)，hash salt在 /bin/mi_console 里写死了，根据设备型号判断。

串口波特率115200.

手动启动 ssh。

cd /tmp
dropbearkey -t rsa -f dropbear_rsa_host_key
dropbear -r dropbear_rsa_host_key

cd /tmp

dropbearkey -t rsa -f dropbear_rsa_host_key

dropbear -r dropbear_rsa_host_key

劫持流量，发现客户端不认第三方的https证书，错误提示是 SSL handshake with client failed: CA certificate could not be matched with a known, trusted CA (unknown_ca)。查了下libxiaomi_http.so，设置了CURLOPT_CAPATH /etc/ssl/certs，然而系统本身是squashfs直接挂载的ro，所以需要曲线救国。

ldd 查看 libxiaomi_http.so，发现引用了 libmbedtls.so libssl.so libcrypto.so，libcurl 的 vtls 里看了下实现，用了这个函数，同时对比了各个实现，决定还是手工加一下证书。

鉴于系统是readonly挂载的，所以上 overlay 。

cd /tmp
mkdir certs workdir
mount -t overlay -o lowerdir=/etc/ssl/certs,upperdir=/tmp/certs,workdir=/tmp/workdir none /etc/ssl/certs/

cd /tmp

mkdir certs workdir

mount -t overlay -o lowerdir=/etc/ssl/certs,upperdir=/tmp/certs,workdir=/tmp/workdir none /etc/ssl/certs/

这样就可以在 /tmp/certs 里加证书，实现自定义ca。

具体操作我是在一台ubuntu上，把证书pem 文件命名为 .crt后缀放在 /usr/local/share/ca-certificates 下然后执行 update-ca-certificates 再去看 /etc/ssl/certs 里的symlink的hash。

我开发机的charles ca 证书 hash 是 6a3a5fb6.0，所以在我的小爱音箱里，我把证书 pem 文件copy到 /tmp/certs 然后创建symlink。

cp xxxxxx /tmp/certs/dev-charles.pem
cd /tmp/certs
ln -s dev-charles.pem 6a3a5fb6.0

cp xxxxxx /tmp/certs/dev-charles.pem

cd /tmp/certs

ln -s dev-charles.pem 6a3a5fb6.0

再执行 ota check 的实话，观察charles，已经能看到ssl的请求了。

红米音箱Play 开发调试实验 updating by @sskaje: https://sskaje.me/2021/03/%e7%ba%a2%e7%b1%b3%e9%9f%b3%e7%ae%b1play-%e5%bc%80%e5%8f%91%e8%b0%83%e8%af%95%e5%ae%9e%e9%aa%8c-updating/

meilisearch ubuntu systemd

By @sskaje
Link: https://sskaje.me/2021/01/meilisearch-ubuntu-systemd/

正在寻求ES的轻量化解决方案，看到了meilisearch，于是上手实验了一把。留了个systemd 配置笔记。

原始安装文档 https://docs.meilisearch.com/guides/advanced_guides/installation.html，官方给的 apt 的安装只有二进制文件，没有配置文件没有启动脚本。

简单来

/etc/default/meilisearch

MEILI_DB_PATH=/var/lib/meilidb
MEILI_HTTP_ADDR=127.0.0.1:7700
MEILI_MASTER_KEY=my-prod-key
MEILI_ENV=production
MEILI_NO_ANALYTICS=1

MEILI_DB_PATH=/var/lib/meilidb

MEILI_HTTP_ADDR=127.0.0.1:7700

MEILI_MASTER_KEY=my-prod-key

MEILI_ENV=production

MEILI_NO_ANALYTICS=1

/etc/systemd/system/meilisearch.service

&#91;Unit]
Description=MeiliSearch
After=systemd-user-sessions.service

&#91;Service]
EnvironmentFile=/etc/default/meilisearch
Type=simple
ExecStart=/usr/bin/meilisearch 

&#91;Install]
WantedBy=default.target

[Unit]

Description=MeiliSearch

After=systemd-user-sessions.service

[Service]

EnvironmentFile=/etc/default/meilisearch

Type=simple

ExecStart=/usr/bin/meilisearch

[Install]

WantedBy=default.target

启动

systemctl daemon-reload
systemctl start meilisearch

1 2	systemctl daemon-reload systemctl start meilisearch

meilisearch ubuntu systemd by @sskaje: https://sskaje.me/2021/01/meilisearch-ubuntu-systemd/

Incoming search terms:

TL-R470GP-AC v4.0 开启SSH

By @sskaje
Link: https://sskaje.me/2020/10/tl-r470gp-ac-v4-0-ssh/

不用折腾，真的不用折腾。上截图

端口隐藏了，我不确定 TP-Link 官方是否介意这个，所以只是给了个图上来。

我是把 1.1 的固件（1.1.0 Build 200831 Rel.44384n）翻了个遍，之前看到了改备份/配置文件的，再加上自己“经验”的开盒插 TTL，都没必要，固件里直接给了个功能。

系统工具 -》诊断工具 -》故障诊断 -》开启诊断模式。

重启，找到合适的端口，不是 22，能看固件就看固件吧，代码里写死了。

用户名 root ，密码参考下边的代码，来自 /etc/init.d/dropbear 的最前边几行

getNewPasswd()
{
	. /lib/functions.sh
	local macAddr=""
	macAddr=$(ubus call tddpServer getInfo '{"infoMask":1,"sep":"-"}' | sed 's/-//g' | jsonfilter -e '@.mac')
	echo "macAddr from tddp config is $macAddr" > /dev/console

	local key=$(echo -n "$macAddr" | md5sum)
	key=$(echo ${key:0:16})
	#echo "key is $key" > /dev/console

	echo ${key}
}

getNewPasswd()

{

. /lib/functions.sh

local macAddr=""

macAddr=$(ubus call tddpServer getInfo '{"infoMask":1,"sep":"-"}' | sed 's/-//g' | jsonfilter -e '@.mac')

echo "macAddr from tddp config is $macAddr" > /dev/console

local key=$(echo -n "$macAddr" | md5sum)

key=$(echo ${key:0:16})

#echo "key is $key" > /dev/console

echo ${key}

}

macAddr 是设备标签上写的 MAC 地址，全大写，没有横线或者冒号。

# macAddr=112233445566
# key=$(echo -n "$macAddr" | md5sum)
# key=$(echo ${key:0:16})
# echo $key
eb341820cd3a3485

# macAddr=112233445566

# key=$(echo -n "$macAddr" | md5sum)

# key=$(echo ${key:0:16})

# echo $key

eb341820cd3a3485

对于 MAC 地址是 112233445566 的设备，root 密码就是 eb341820cd3a3485 。

给个链接 https://rst.im/hash/112233445566，参考 md5(half) 这行

另外，一些其他信息。

Telnet，telnet是开不了的，因为固件的 /etc/passwd 里放了一个默认密码，而 telnet 的启动脚本检测了，只有各种都是空的情况才能自动开启 telnet。假设条件成立，telnet 的密码也是空，参考 /etc/init.d/telnet 的 start()

串口，依旧没搞定。

opkg，自带配置无效，有空再去看哪个源可以用。

root@TP-LINK:~# cat /etc/opkg.conf 
src/gz attitude_adjustment http://downloads.openwrt.org/attitude_adjustment/12.09-rc1/mtk/generic/packages
dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlay

root@TP-LINK:~# cat /etc/opkg.conf

src/gz attitude_adjustment http://downloads.openwrt.org/attitude_adjustment/12.09-rc1/mtk/generic/packages

dest root /

dest ram /tmp

lists_dir ext /var/opkg-lists

option overlay_root /overlay

wireguard，等 opkg 搞了再看

You are not authorised to read all content in this post. Please login…

TL-R470GP-AC v4.0 开启SSH by @sskaje: https://sskaje.me/2020/10/tl-r470gp-ac-v4-0-ssh/

Incoming search terms:

TL-R470GP-AC v4.0 主板图

By @sskaje
Link: https://sskaje.me/2020/10/tl-r470gp-ac-v4-0-%e4%b8%bb%e6%9d%bf%e5%9b%be/

之前看到某论坛的历史记录，TL-R470GP-AC v1.0 跟当时的 gamer 上有人发的 MR100GP-AC 板子看上去一模一样，不愧是一家。

为了研究 TL-R470GP-AC 装 WireGuard，花260又买了一个新的，拆机。

然而，试了 J1 和 J4 的各种组合，都看不到串口数据。

TL-R470GP-AC v4.0 主板图 by @sskaje: https://sskaje.me/2020/10/tl-r470gp-ac-v4-0-%e4%b8%bb%e6%9d%bf%e5%9b%be/

TL-R470GP-AC 解密备份文件

By @sskaje
Link: https://sskaje.me/2020/09/tl-r470gp-ac-backup-file-decrypt/

TL-R470GP-AC 是 TP-Link 的一款基础的路由+PoE交换+AC的3合一设备。图省事和便宜给老家换了这套方案，配上3个 ax 的AP。但是这款设备没有看到第三方固件。

想研究开启SSH，所以先从改配置文件入手，但是配置文件是加密的，于是第一步回到定位加密算法或者直接解密/加密配置文件。所有试验均在ubuntu 18.04 下完成。

1 官网下载固件，binwalk -e 看固件，研究web 的 cgi 程序，可以定位到配置文件解密程序的可执行文件

2 file 看一下程序，mipsel

ELF 32-bit LSB executable, MIPS, MIPS32 version 1 (SYSV), dynamically linked, interpreter /lib/ld-uClibc.so.0, corrupted section header size

1	ELF 32-bit LSB executable, MIPS, MIPS32 version 1 (SYSV), dynamically linked, interpreter /lib/ld-uClibc.so.0, corrupted section header size

3 ubuntu 下安装qemu

apt install qemu binfmt-support qemu-user-static

1	apt install qemu binfmt-support qemu-user-static

4 准备执行环境，在 squash-root 里执行

cp $(which qemu-mipsel-static) bin/

1	cp $(which qemu-mipsel-static) bin/

5 复制备份文件文件到 squash-root 里，执行解密命令

chroot . qemu-mipsel-static usr/bin/xxxxx   -d -i /config.bin -o /config.tar.gz

1	chroot . qemu-mipsel-static usr/bin/xxxxx -d -i /config.bin -o /config.tar.gz

目前还没看到怎么开 SSH，能搞定的话，再去搞定 wireguard 就完美了。至于加密，有现成的工具可用。

接下来分析配置文件吧，全靠猜。

先看看tar包的内容

# tar tvf config.tar.gz 
drwxr-xr-x root/root         0  tmp/cfg_save/backconf_tmp/
-rw-r--r-- root/root        56  tmp/cfg_save/backconf_tmp/product_name_conf
-rw-r--r-- root/root        33  tmp/cfg_save/backconf_tmp/md5_sum_conf
-rw-r--r-- root/root     64517  tmp/cfg_save/backconf_tmp/tmp_conf.tar.gz
drwxr-xr-x root/root         0  tmp/cfg_save/backconf_tmp/backup/
-rwxr-xr-x root/root     20577  tmp/cfg_save/backconf_tmp/backup/uc.conf
-rw-r--r-- root/root     15791  tmp/cfg_save/backconf_tmp/backup/uc_conf.tar.gz
-rw-r--r-- root/root     44122  tmp/cfg_save/backconf_tmp/backup/non_uci.tar.gz

# tar tvf config.tar.gz

drwxr-xr-x root/root 0 tmp/cfg_save/backconf_tmp/

-rw-r--r-- root/root 56 tmp/cfg_save/backconf_tmp/product_name_conf

-rw-r--r-- root/root 33 tmp/cfg_save/backconf_tmp/md5_sum_conf

-rw-r--r-- root/root 64517 tmp/cfg_save/backconf_tmp/tmp_conf.tar.gz

drwxr-xr-x root/root 0 tmp/cfg_save/backconf_tmp/backup/

-rwxr-xr-x root/root 20577 tmp/cfg_save/backconf_tmp/backup/uc.conf

-rw-r--r-- root/root 15791 tmp/cfg_save/backconf_tmp/backup/uc_conf.tar.gz

-rw-r--r-- root/root 44122 tmp/cfg_save/backconf_tmp/backup/non_uci.tar.gz

You are not authorised to read all content in this post. Please login…

TL-R470GP-AC 解密备份文件 by @sskaje: https://sskaje.me/2020/09/tl-r470gp-ac-backup-file-decrypt/