k3/k3c斐讯激活telnet工具用的什么原理或漏洞？

ph***

一句话概括我的问题，就是u大的telnet-enable工具或者@phitools @phitools 大神的routack做了什么事情打开的telnet？

看了k站u大的帖子，了解到斐讯k3是通过 telnet_startupd 进程读取 /dev/mtd4 的第 7 和第 8 字节来决定 telnet 是否默认开，如果是0x10 0x70 就开启。又看了phitools大神的解释，了解到k3c的telnet是判断 mtd6 的偏移30h 处, 值为 10 70 时为开telnet。
现在，我大致了解了斐讯开启telnet原理，就是通过telnet_startupd读取那两个字节决定是否自启的。
但是问题来了，u大的开telnet工具和phitools大神的routack用的是什么原理或者漏洞来修改这两个字节数据的呢？或者是如何控制telnet_startup的呢？
自己抓了一下包，发现是向路由器udp21210端口发了四个数据包，具体干了啥还是不懂……希望大神来解释一下

pal***

1070为开启工厂模式所用的特定二进制字符，我记得新出厂的k3c已经全部为空了

ph***

paldier 发表于 2017-11-14 10:56
1070为开启工厂模式所用的特定二进制字符，我记得新出厂的k3c已经全部为空了

我就是想知道开启telnet工具是如何把ffff改成1070的？

pal***

php.c 发表于 2017-11-14 11:00
我就是想知道开启telnet工具是如何把ffff改成1070的？

改不了，以前不知道是不是斐讯故意的出厂自带1070

tjtt***

我猜是phitools大逆向了固件发现的