|
|
本帖最后由 hackpascal 于 2015-5-17 12:22 编辑
看到有不少人在讨论 TP-LINK 的 VxWorks 固件头修改,这里楼主给出自己的分析:
楼主发此贴的目的是让你们放弃对不拆机刷机的幻想。遇到VxWorks的路由,老老实实拆机硬改吧!!
TP-LINK 的 VxWorks 固件头有两种:
第一种是比较早的,以 TL-WR841N v9 国内版为例:
其特点是整个固件就是一个文件
第二种是比较新的,以 TL-WR882N v1 为例:
其特点是固件分为文件系统部分和内核部分
以上两个图选中的部分是固件的 MD5 校验。
MD5 校验方式和 Linux 版的检验方式相同,即使用一个固定的 16 字节数据填充选中的部分,再计算替换后的文件的 MD5,将此值覆盖回选中的部分。
楼主用 IDA 对固件进行了逆向分析,得到了那串固定的 16 字节数据:
CC 96 28 EE 8D FB 21 BB 3D EF 6C B5 9F 77 4C 7C
使用此数据就可以成功绕过 MD5 校验。
但是,这还没完!
(P.S. 这个仅部分固件有以下这个校验)
重新计算 MD5 校验后,在 Web 里进行升级,会出现如下提示:
这个提示实际上是骗人的,真实的错误是什么呢?
需要看看 TTL 的输出:
看最后一行的提示: RSA SIGN is error
这说明固件带有 RSA 签名!
这个数字签名在何处呢?比较一下刷入到 Flash 中的数据和原升级固件,发现升级固件里最后有 0x80 字节没有被写入,这就是 RSA 签名:
修改固件内容,RSA 签名就会被破坏。
0x80 字节的数据说明此 RSA 是 1024-bit 的,暴力破解基本无望。
因此,想要通过修改固件头来刷其他固件基本上是不可能的了。
P.S.
在 IDA 里可以看到升级固件的步骤:
可以看到系统会依次检查固件头的 Magic、产品ID、固件版本、生产商ID、国家ID、语言ID、固件大小、MD5校验,
最后检查 RSA 签名。
此 RSA 签名的方式应该是先计算固件的 MD5,再对此 MD5 值进行签名。
分析固件可得到3组疑似公钥:
BgIAAACkAABSU0ExAAQAAAEAAQA1Ccyu85b65TawjvSQTaryGNk1gBJVn6kEIJq6m0hagsqkiy32v4ui41ucp6tKfaoqb7AHDBq41dcEMgM6YBF2e3aRKQqZ6EwgCvAi3O81n7UbE97lD+FhvqlYxyqqMbSdvNmCiAoujheUs9DUaOCHq4K3McDxATMVOnCtT1H+wQ==
BgIAAACkAABSU0ExAAQAAAEAAQD7Bk7f7fdnL9drucbr+P9wA2JUlYP/OH4zvIS69eY3KKmUB1fs9ND06EINqTQ4vQ4gCeekU1dRi3WiZLgVjo/UzovplddUezNMWq0gk4TVbsGf/xzXZN+pDWid9zYsSr9qvINId6cnMR+s/wXB1TOE6t6wfzHvnbkJR0r1mqG4yA==
BgIAAACkAABSU0ExAAQAAAEAAQAHNt5fFl0BUlLkPjKJloZFlVFkegFjEsVJCRjwbRD6i646tpvc/Z5MK6SuXcz3yizxDGMnZ6BJdqCR9SJTdd3b11F7Q+pgetcAgX5X9NZTzo1MCvpkKAlEyZG0rXMpSbADNNqtACNT0BLhHu4nyiDBBIIOSZljQAzHiqSquxHDsg==
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
评分
-
查看全部评分
|
/1 
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡
