Очень мощный и популярный мобильный роутер с Алиэкспресс. Аккумулятор мощный, есть подозрение, что может протянуть сутки без заряда. В комплекте адаптер для симок. Сигнал оказался тоже сильный как на прием, так и на отдачу. Управление простое и понятное. Пришел с уже частично заряженной батареей с предохранительной лентой.
То есть проверить можно сразу же. Предусмотрите что к роутеру подойдет не каждая сим-карта, а только те что предназначаются для роутеров. У меня сим теле2. В сельской местности 4G прям летает.
цена: 2 113 руб.
Источник: buyfrom.ru
Исследуем китайские роутеры на RT5350
3 лучших Wi Fi роутеров с АлиЭкспресс
Однажды, lolipop купил роутер на алиэкспрессе. Да не простой роутер, а очень компактный и дешевый, с 2 Ethernet-портами, USB, да еще и от фирмы, которая в начале 2000-х продавала свои mp3-плееры на территории РФ: Nexx WT1520H.
Стандартная прошивка, как и почти всегда, была скудная, и, конечно же, хотелось заменить ее на что-то более вменяемое. Но вот незадача — никаких альтернативных прошивок под роутер нет, и прошить непонятно как, т.к. никакие другие прошивки не принимались через веб-интерфейс, заголовок прошивки я раньше такой не видел, да и binwalk ничего в ней не находил, стало быть, она зашифрована:
lolipop слил данные с флешки через программатор, и мы начали в них ковыряться.
Исследование прошивки
За весь процесс инициализации оборудования и запуска программ отвечает собственный инит — /sbin/rc. Это такой комбаин покруче busybox, в котором содержится практически вся логика работы роутера:
Скрытый текст
.text:0040E758 .globl start_services .text:0040E758 start_services: # CODE XREF: main+14C8p .text:0040E758 # DATA XREF: main+14C0o . .text:0040E758 .text:0040E758 var_10 = -0x10 .text:0040E758 var_8 = -8 .text:0040E758 .text:0040E758 li $gp, 0x7EBF8 .text:0040E760 addu $gp, $t9 .text:0040E764 addiu $sp, -0x20 .text:0040E768 sw $ra, 0x20+var_8($sp) .text:0040E76C sw $gp, 0x20+var_10($sp) .text:0040E770 la $t9, start_syslog .text:0040E774 nop .text:0040E778 jalr $t9 ; start_syslog .text:0040E77C nop .text:0040E780 lw $gp, 0x20+var_10($sp) .text:0040E784 nop .text:0040E788 la $t9, start_proftpd .text:0040E78C nop .text:0040E790 jalr $t9 ; start_proftpd .text:0040E794 nop .text:0040E798 lw $gp, 0x20+var_10($sp) .text:0040E79C nop .text:0040E7A0 la $t9, start_telnetd .text:0040E7A4 nop .text:0040E7A8 jalr $t9 ; start_telnetd .text:0040E7AC nop .text:0040E7B0 lw $gp, 0x20+var_10($sp) .text:0040E7B4 nop .text:0040E7B8 la $t9, load_smb_driver .text:0040E7BC nop .text:0040E7C0 jalr $t9 ; load_smb_driver .text:0040E7C4 nop .text:0040E7C8 lw $gp, 0x20+var_10($sp) .text:0040E7CC nop .text:0040E7D0 la $t9, sys_led_init .text:0040E7D4 nop .text:0040E7D8 jalr $t9 ; sys_led_init .text:0040E7DC li $a0, 2 .text:0040E7E0 lw $gp, 0x20+var_10($sp) .text:0040E7E4 nop .text:0040E7E8 la $t9, start_upnp .text:0040E7EC nop .text:0040E7F0 jalr $t9 ; start_upnp .text:0040E7F4 nop .text:0040E7F8 lw $gp, 0x20+var_10($sp) .text:0040E7FC nop .text:0040E800 la $t9, start_dhcpd .text:0040E804 nop .text:0040E808 jalr $t9 ; start_dhcpd .text:0040E80C nop .text:0040E810 lw $gp, 0x20+var_10($sp) .text:0040E814 nop .text:0040E818 la $t9, start_ntpc .text:0040E81C nop .text:0040E820 jalr $t9 ; start_ntpc .text:0040E824 nop .text:0040E828 lw $gp, 0x20+var_10($sp) .text:0040E82C nop .text:0040E830 la $t9, start_dns .text:0040E834 nop .text:0040E838 jalr $t9 ; start_dns .text:0040E83C nop .text:0040E840 lw $gp, 0x20+var_10($sp) .text:0040E844 nop .text:0040E848 la $t9, start_ddns .text:0040E84C nop .text:0040E850 jalr $t9 ; start_ddns .text:0040E854 nop .text:0040E858 lw $gp, 0x20+var_10($sp) .text:0040E85C nop .text:0040E860 la $t9, start_igmp_proxy .text:0040E864 nop .text:0040E868 jalr $t9 ; start_igmp_proxy .text:0040E86C nop .text:0040E870 lw $gp, 0x20+var_10($sp) .text:0040E874 nop .text:0040E878 la $t9, start_ipmac_bind .text:0040E87C nop .text:0040E880 jalr $t9 ; start_ipmac_bind .text:0040E884 nop .text:0040E888 lw $gp, 0x20+var_10($sp) .text:0040E88C nop .text:0040E890 la $t9, start_block_ipmac .text:0040E894 nop .text:0040E898 jalr $t9 ; start_block_ipmac .text:0040E89C nop .text:0040E8A0 lw $gp, 0x20+var_10($sp) .text:0040E8A4 nop .text:0040E8A8 la $t9, start_block_port .text:0040E8AC nop .text:0040E8B0 jalr $t9 ; start_block_port .text:0040E8B4 nop .text:0040E8B8 lw $gp, 0x20+var_10($sp) .text:0040E8BC nop .text:0040E8C0 la $t9, start_ddos .text:0040E8C4 nop .text:0040E8C8 jalr $t9 ; start_ddos .text:0040E8CC nop .text:0040E8D0 lw $gp, 0x20+var_10($sp) .text:0040E8D4 nop .text:0040E8D8 la $t9, start_monitor_rate .text:0040E8DC nop .text:0040E8E0 jalr $t9 ; start_monitor_rate .text:0040E8E4 nop .text:0040E8E8 lw $gp, 0x20+var_10($sp) .text:0040E8EC nop .text:0040E8F0 la $t9, start_upgraded .text:0040E8F4 nop .text:0040E8F8 jalr $t9 ; start_upgraded .text:0040E8FC nop .text:0040E900 lw $gp, 0x20+var_10($sp) .text:0040E904 nop .text:0040E908 la $t9, start_conntrack_limit .text:0040E90C nop .text:0040E910 jalr $t9 ; start_conntrack_limit .text:0040E914 nop .text:0040E918 lw $gp, 0x20+var_10($sp) .text:0040E91C nop .text:0040E920 la $t9, start_macfilter .text:0040E924 nop .text:0040E928 jalr $t9 ; start_macfilter .text:0040E92C nop .text:0040E930 lw $gp, 0x20+var_10($sp) .text:0040E934 nop .text:0040E938 la $t9, start_black_management .text:0040E93C nop .text:0040E940 jalr $t9 ; start_black_management .text:0040E944 nop .text:0040E948 lw $gp, 0x20+var_10($sp) .text:0040E94C nop .text:0040E950 la $t9, start_wlan_wps .text:0040E954 nop .text:0040E958 jalr $t9 ; start_wlan_wps .text:0040E95C nop .text:0040E960 lw $gp, 0x20+var_10($sp) .text:0040E964 nop .text:0040E968 la $t9, start_trakerurl .text:0040E96C nop .text:0040E970 jalr $t9 ; start_trakerurl .text:0040E974 nop .text:0040E978 lw $gp, 0x20+var_10($sp) .text:0040E97C lw $ra, 0x20+var_8($sp) .text:0040E980 move $v0, $zero .text:0040E984 jr $ra .text:0040E988 addiu $sp, 0x20 .text:0040E988 # End of function start_services
Путем дедукции и nmap было выяснено, что на роутере запущен telnetd, который доступен через WAN-интерфейс! Вот это дела! Однако, залогиниться не получалось ни под пользователем root, ни под пользователем admin.
ТОП-5 лучших роутеров с АлиЭкспресс. Рейтинг
В качестве telnetd выступает busybox. Давайте заглянем в него (функция login_main):
Т-а-а-к, теперь пускает до ввода пароля, однако стандартный пароль «admin» не принимается. Интересно. Смотрим дальше:
Вот так дела! Логин nexxadmin, пароль y1n2inc.com0755, с доступом через WAN.
В прошивке есть mtd_write, так что ничто не мешает нам уже сейчас залить OpenWRT прямо на флеш, что и было сделано lolipop, но все же было интересно разреверсить алгоритм шифрования. К сожалению, моих навыков ассемблирования MIPS в голове явно недостаточно, и я испытывал большой дискомфорт только смотря на весь этот код, поэтому я заказал себе такой же роутер, и, о чудо, через 2 месяца он был у меня.
Продолжаем исследование
Подключен только RX, земля общая с лаптопом по USB-питанию.
Обновить роутер можно как через веб-интерфейс, так и по tftp (который, опять же, слушает WAN!). Tftp-демон (upgraded из rc), похоже, сломан, т.к. обновление через него не приводило к обновлению прошивки в роутере, хотя и никаких ошибок не было. Следует заметить, что обновление прошивки по tftp требует аутентификации с таким же паролем, как и на веб-интерфейс, так что тяжело назвать его backdoor, скорее просто неправильно сконфигурированный сервис.
Я решил исследовать обновление прошивки именно через tftp.
Простое обновление через стандартный tftp-клиент приводило к «Upgrade not possible: Incorrect Password» от upgraded. Давайте заглянем в него:
Обычные клиенты, похоже, не умеют отправлять tftp-опции, поэтому я скачал python-библиотеку tftpy, модифицировал одну строку в файле-примере клиента, и все заработало:
Отлично! Теперь осталось разобраться с шифрованием прошивки. В rc есть функция decrypto, выглядит она как-то так:
Найти ключ в статике я не смог, поэтому я приступил к отладке. Чтобы отлаживать что-то на устройстве, разумеется, нужно сначала собрать отладчик. linux_server от IDA Pro не собирают под MIPS (а роутер построен именно на этой архитектуре), так что нужно было как-то собрать gdbserver под роутер. В роутере используется старое-престарое ядро 2.6.21 с uClibc 0.9.28.
Первым делом, я решил воспользоваться buildroot, чтобы он и toolchain с uClibc собрал, и gdbserver статически. Отлично, все собралось, вроде запускается, однако, при отладке через IDA Pro, сервер постоянно падает, какие-то странные ошибки ptrace выдает, ну, думаю, надо пересобрать его с заголовками от ядра 2.6.21 и с uClibc 0.9.28, т.к. uClibc никогда не обещал бинарную совместимость.
В интернете нашелся Ralink SDK с нужной версией ядра и uClibc. GDBServer, собранный этим toolchain, вел себя один-в-один как старый. К сожалению, в IDA Pro имеется какая-то несовместимость с gdbserver, который запущен на MIPS. К счастью, gdbserver замечательно работает с обычным gdb, собранным под mips (./configure —target mipsel-linux).
Я очень редко что-то отлаживаю в голом gdb, а удобные надстройки и скрипты для него работают только с x86 и ARM. К счастью, я нашел репозиторий с .gdbinit для MIPS, и удобство отладки заметно увеличилось. Все происходило как-то так:
В конечном счете, ключ был найден всего несколькими строчками выше, чего и следовало ожидать:
После того, как я написал скрипт для расшифровки прошивки, lolipop прислал мне еще одну с похожим заголовком, но от другого роутера. Первые 4 символа (magic) у нее были R3G2. Поискав эту строку в Google, обнаружилось, что все уже сделано до нас, еще аж в начале 2013 года 🙁
В любой расшифрованной прошивке есть строка Linux Kernel Image, которая находится всегда по одному и тому же смещению. Эта строка длиннее, чем XOR-ключ, а это значит, что нам не нужно его доставать из rc у разных производителей, а мы можем просто «найти» его из этой строки.
Но недостаточно только распаковать прошивку, нужно ее еще и запаковать, чтобы была возможность обновить ее через веб-интерфейс. Как оказалось, в функции обновления присутствует подсчет контрольной суммы прошивки:
Что выглядит на C примерно вот так:
for (i=0; i if (i < f.len) < checksum += data[i]; printf(«Got odd byte: 0x%02Xn», data[i]); i+=1; >checksum = checksum + (checksum >> 16) + 0xffff; checksum = ~(checksum + (checksum >> 16)) printf(«Checksum = 0x%04Xn», checksum); data[i] = checksum data[i+1] = (checksum >> 8)
Теперь у нас есть все необходимое, чтобы заливать любые прошивки через веб-интерфейс.
Ссылки
Заключение
Данный способ подходит для многих устройств на SoC RT5350. Вероятно, это какой-то штатный способ обновления прошивки из SDK.
Прошивки c backdoor и такого низкого качества вынуждают потребителя искать нормально работающий софт для своего устройства. lolipop добавил поддержку данного устройства в OpenWRT, и скоро ее добавят в Trunk. А еще, вчера наконец-то вышел релиз OpenWRT Barrier Breaker! (анонса на сайте еще нет).
Так и живем.
- Информационная безопасность
- Реверс-инжиниринг
Источник: habr.com
Xiaomi Mi WiFi Nano — самый красивый миниатюрный роутер
Доброго времени суток! Сегодня мне хочется рассказать о прекрасном приобретении на распродаже 11.11, которое превзошло самые смелые мои ожидания, по поводу своего качества. Это приобретение — роутер Xiaomi Mi WiFi Nano. Пришел он в один и тот же день с не менее хорошей зарядкой с квикчаржем и сперва, из-за размера коробки, я подумал что это наушники или ещё что от Xiaomi, но оказалось что это всё-таки роутер.
Внутри небольшой коробки лежал сам роутер и довольно качественный жесткий провод белого цвета. Адаптера или ещё чего-либо, кроме пары бумажек, не оказалось.
Роутер очень приятно удивил своим размером, вот например его фото на ладони:
Все разъемы размещены на задней части роутера.
Один Ethernet-порт для подключения интернета и ещё два порта для проводного подключения клиентов. Там-же порт питания (microUSB) немного непривычной полностью прямоугольной формы.
На нижней части роутера расположены спецификации, серийные номера, mac, отверстия для вентиляции и кнопка reset, спрятанная в правом-верхнем отверстии.
Вот как выглядит роутер в «боевом» состоянии.
Сразу после подключения питания начинает светится небольшой диод, расположенный на фронтальной части устройства, оповещающий о его текущем состоянии.
Уже через минуту с любого устройства, в котором есть Wi-Fi можно найти роутер и подключится. В SSID сети обязательно присутствует что-нибудь намекающее (кроме максимального уровня сигнала) на то, что это Ваш роутер от Xiaomi.
По надписи на задней части устройства становится ясно, по какому адресу нужно зайти для настройки.
Несмотря на предостережения в сети, у меня сразу открылись настройки на русском языке. Не знаю почему так, может хром моего смартфона так их перевел, или же роутер как-то определил своё примерное местоположение.
При настройке доступны несколько вариантов, позволяющих или же организовать на базе роутера отдельную сеть, или же усилить с его помощью существующую. Настраивается это очень быстро, существующая сеть выбирается из списка, вводятся её данные и выбирается вариант либо дублировать данные расширяемой сети, либо представить покрытие данного роутера в виде новой. Я выбрал второй вариант и с его помощью сделал «гостевой» wi-fi. В моем случае он используется именно для усиления существующей сети и стоит на балконе, на пятом этаже.
А теперь просто сбивающий с ног факт, у меня получилось пользоваться интернетом при подключении к роутеру на расстоянии 260 метров от него в длину, стоя на улице. Если учесть перепад высот выйдет около трёхста! Впечатляюще, не так ли?
Ещё одна крутость данного роутера в том, что питание на него идет именно через microUSB, благодаря чему можно пользоваться им вот так:
Также очень понравилось то, как быстро роутер «оживает» после переподключения питания, сеть поднимается пожалуй быстрее, чем за минуту, никакие настройки при этом не пропадают.
Xiaomi в очередной раз удивила меня, или даже не удивила а просто выдержала марку, сделав отличное недорогое устройство. Советую, смело покупайте!
- MotoFun93 |
- В избранное +3 |
- 8 января 2016, 00:31 |
- Просмотры: 6707 |
Источник: skustore.ru