小课堂又来咯~之前已经在新版MR3000DCIq折腾记录发表过关于它硬件方面的研究,今天闲来无事就又研究了一下它的固件
因为上次已经更换闪存刷了openwrt,原厂系统的环境已经没有了,就只能通过备份的ubi分区来解析
在用ubi_reader把分区解出来之后,就可以用7zip直接解压rootfs
研究流程其实已经挺熟悉了,先从web入手,寻找跟备份配置相关的内容
因为环境已经没了,就只能直接搜索一些关键字,比如backup,config之类的
很快就先找到了一个网页相关的js文件出现了system_backup,很明显是备份配置
下来就在这个js所在的/usr/share/admin-web文件夹继续发掘,下来找到的是一个相关的lua文件
这里出现的m.cmd = "system_backup"就指向更加明显了,接下来就要继续寻找system_backup这条指令相关的内容,接着找到的是
这下就看到这条cmd具体对应执行的指令了,是os.execute("/usr/share/sysmgr/apps/sysbackup.sh backup " .. path)
那么下一个要探索的就是这条指令指向的/usr/share/sysmgr/apps/sysbackup.sh backup
sysbackup.sh里的backup函数里有一句非常有意思的timeout 10 openssltar.sh tar $backupdir $outpath wjrc0409
这里又提到一个新的脚本openssltar.sh,通过搜索找到了它,在/usr/sbin里
到这里就很清楚了,openssltar.sh有tar和untar两个函数,接收3个参数,分别是inpath,outpath和password
那么这句openssltar.sh tar $backupdir $outpath wjrc0409就很好理解了,这里的wjrc0409就是硬编码的password
下来就来验证一下openssl aes-256-cbc -d -in ./ssh.bin -out ./ssh.tar -k wjrc0409 就可以正常打开了
这下已经有三个机型三种不同的解密配置文件的方法了,真是有意思
前两个在RAX3000M和EA0326GMP
请不要胡乱输入以及粘贴、复制等方式灌水
请尊重作者、并共同维护网站的正常阅读,否则账户将会被限制发帖、回帖,站内短信以及阅读权限等都会受到影响,谢谢。
具体限制方式:https://www.right.com.cn/forum/thread-8307840-1-1.html
|