Tplink | @sskaje

By @sskaje
Link: https://sskaje.me/2020/09/tl-r470gp-ac-backup-file-decrypt/

TL-R470GP-AC 是 TP-Link 的一款基础的路由+PoE交换+AC的3合一设备。图省事和便宜给老家换了这套方案，配上3个 ax 的AP。但是这款设备没有看到第三方固件。

想研究开启SSH，所以先从改配置文件入手，但是配置文件是加密的，于是第一步回到定位加密算法或者直接解密/加密配置文件。所有试验均在ubuntu 18.04 下完成。

1 官网下载固件，binwalk -e 看固件，研究web 的 cgi 程序，可以定位到配置文件解密程序的可执行文件

2 file 看一下程序，mipsel

ELF 32-bit LSB executable, MIPS, MIPS32 version 1 (SYSV), dynamically linked, interpreter /lib/ld-uClibc.so.0, corrupted section header size

1	ELF 32-bit LSB executable, MIPS, MIPS32 version 1 (SYSV), dynamically linked, interpreter /lib/ld-uClibc.so.0, corrupted section header size

3 ubuntu 下安装qemu

apt install qemu binfmt-support qemu-user-static

1	apt install qemu binfmt-support qemu-user-static

4 准备执行环境，在 squash-root 里执行

cp $(which qemu-mipsel-static) bin/

1	cp $(which qemu-mipsel-static) bin/

5 复制备份文件文件到 squash-root 里，执行解密命令

chroot . qemu-mipsel-static usr/bin/xxxxx   -d -i /config.bin -o /config.tar.gz

1	chroot . qemu-mipsel-static usr/bin/xxxxx -d -i /config.bin -o /config.tar.gz

目前还没看到怎么开 SSH，能搞定的话，再去搞定 wireguard 就完美了。至于加密，有现成的工具可用。

接下来分析配置文件吧，全靠猜。

先看看tar包的内容

# tar tvf config.tar.gz 
drwxr-xr-x root/root         0  tmp/cfg_save/backconf_tmp/
-rw-r--r-- root/root        56  tmp/cfg_save/backconf_tmp/product_name_conf
-rw-r--r-- root/root        33  tmp/cfg_save/backconf_tmp/md5_sum_conf
-rw-r--r-- root/root     64517  tmp/cfg_save/backconf_tmp/tmp_conf.tar.gz
drwxr-xr-x root/root         0  tmp/cfg_save/backconf_tmp/backup/
-rwxr-xr-x root/root     20577  tmp/cfg_save/backconf_tmp/backup/uc.conf
-rw-r--r-- root/root     15791  tmp/cfg_save/backconf_tmp/backup/uc_conf.tar.gz
-rw-r--r-- root/root     44122  tmp/cfg_save/backconf_tmp/backup/non_uci.tar.gz

# tar tvf config.tar.gz

drwxr-xr-x root/root 0 tmp/cfg_save/backconf_tmp/

-rw-r--r-- root/root 56 tmp/cfg_save/backconf_tmp/product_name_conf

-rw-r--r-- root/root 33 tmp/cfg_save/backconf_tmp/md5_sum_conf

-rw-r--r-- root/root 64517 tmp/cfg_save/backconf_tmp/tmp_conf.tar.gz

drwxr-xr-x root/root 0 tmp/cfg_save/backconf_tmp/backup/

-rwxr-xr-x root/root 20577 tmp/cfg_save/backconf_tmp/backup/uc.conf

-rw-r--r-- root/root 15791 tmp/cfg_save/backconf_tmp/backup/uc_conf.tar.gz

-rw-r--r-- root/root 44122 tmp/cfg_save/backconf_tmp/backup/non_uci.tar.gz

You are not authorised to read all content in this post. Please login…

TL-R470GP-AC 解密备份文件 by @sskaje: https://sskaje.me/2020/09/tl-r470gp-ac-backup-file-decrypt/