小课堂又来咯~之前已经在新版MR3000DCIq折腾记录发表过关于它硬件方面的研究,今天闲来无事就又研究了一下它的固件
因为上次已经更换闪存刷了openwrt,原厂系统的环境已经没有了,就只能通过备份的ubi分区来解析
在用ubi_reader把分区解出来之后,就可以用7zip直接解压rootfs
研究流程其实已经挺熟悉了,先从web入手,寻找跟备份配置相关的内容
因为环境已经没了,就只能直接搜索一些关键字,比如backup,config之类的
很快就先找到了一个网页相关的js文件出现了system_backup,很明显是备份配置
下来就在这个js所在的/usr/share/admin-web文件夹继续发掘,下来找到的是一个相关的lua文件
这里出现的m.cmd = "system_backup"就指向更加明显了,接下来就要继续寻找system_backup这条指令相关的内容,接着找到的是
这下就看到这条cmd具体对应执行的指令了,是os.execute("/usr/share/sysmgr/apps/sysbackup.sh backup " … path)
那么下一个要探索的就是这条指令指向的/usr/share/sysmgr/apps/sysbackup.sh backup
sysbackup.sh里的backup函数里有一句非常有意思的timeout 10 openssltar.sh tar $backupdir $outpath wjrc0409
这里又提到一个新的脚本openssltar.sh,通过搜索找到了它,在/usr/sbin里
到这里就很清楚了,openssltar.sh有tar和untar两个函数,接收3个参数,分别是inpath,outpath和password
那么这句openssltar.sh tar $backupdir $outpath wjrc0409就很好理解了,这里的wjrc0409就是硬编码的password
下来就来验证一下openssl aes-256-cbc -d -in ./ssh.bin -out ./ssh.tar -k wjrc0409 就可以正常打开了
评论区