某路由器设备拆开后定位到uart接口，将uart引脚通过TTL接入到电脑，路由器上电启动，观察启动日志.

从上面设备的部分启动日志可以看出，uboot shell可以被中断，路由器上电后快速按任意键可进入。路由器启动后关闭了console 控制台，不能通过console登录路由器。为了方便后续逆向工作，最好能进入路由器系统，但目前是console已关闭，且未发现telnet、ssh等服务，只能从uboot shell为切入点进一步分析。

路由器reset，快速按下任意键进入boot shell，可以看到当前uboot shell支持的命令

printenv查看当前环境变量

bootargs为内核启动参数，这里没有看到init参数，一般来说，通过设置init参数来指定内核启动后第一个执行的脚本，可以尝试设置init=/bin/sh进入linux shell。

用setenv修改bootcmd参数，保存环境变量。

bootm启动失败，这里报错can't get kernel image!

网上下载一份u-boot-2013源码，搜索can't get kernel image字符串，定位到关键代码。

uboot首先会检测kernel的uimage头部信息，不正确会输出上面错误。kernel uimage是在kernel image前加上一段长度为64字节的头，用于描述内核的版本、加载位置等信息 ，uimage魔数一般是0x27051956，很明显0x440001e0地址的数据不符合，所以加载报错。

正常情况下0x440001e0地址应该存放着kernel的uimage数据，这里不知什么原因kernel uimage未能正确加载到内存。这里尝试手动从nand flash中读取内核到内存中。

路由器正常启动的日志中，可以看到nand flash的13个分区，其中0x000000200000-0x000000700000 、0x000000700000-0x000000c00000存放这kernel数据，其中一个应该是做备份用。

nand dump查看nand flash中内核数据，uimage从0x2001e0开始

使用nand read将nand flash中kernel分区数据加载到内存中，addr是ram的地址，off指的是nand flash的地址， size指要读取nand flash的数据大小。

再次bootm，成功启动，但是当内核尝试启动我们添加的启动参数init=/bin/sh时失败了，未能成功进入linux shell，之后又重新用了默认启动参数重启。

添加init参数未能成功启动，后面尝试修改文件系统，开启console、修改root密码，修改后的文件系统通过tftp上传到设备。

uboot shell 支持tftp通信功能，这里先在ubuntu 18 PC机上安装tftp服务

检查tftpd-hpa服务是否正在运行

tftpd-hpa服务器的默认配置文件是/etc/default/tftpd-hpa。TFTP_DIRECTORY是TFTP服务器访问目录。

给TFTP_OPTIONS选项添加--create选项，否则无法创建新文件或将新文件上传到 TFTP 服务器。

修改/var/lib/tftpboot访问属性

uboot shell环境变量中tftp的 serverip默认为192.168.1.100，这里我们直接将上面装有tftp服务器的ubuntu的ip地址设为192.168.1.100，

pc与路由器通过网线连接，从tftp服务器成功下载测试文件app.cgi到uboot，至此tftp通信环境已建立，下面修改文件系统上传到uboot。

已经从网上下载到了设备固件，另外通过uboot也可以从flash的rootfs分区dump出文件系统。当前想通过修改固件开启console并修改登录密码，修改后的固件重新打包通过tftp上传到uboot，最后在刷到nand flash的文件系统分区。

前面了解到路由器正常启动时，串口日志最后打印了close console，可见根文件系统启动后直接关闭了console，导致不能通过串口登录到linux shell。解包设备固件，在程序中搜索close console字符串，发现该字符串出现在/bin/cspd程序中。

找到关闭console的代码，直接patch掉。开启console后想要登录进linux shell还需要知道用户名、密码，可以考虑直接将/etc/passwd文件中root用户密码字段置空，后面登录时直接输入用户名root即可登录。

从上面的环境变量信息可以知道设备使用的是jffs2文件系统，将上面修改后的文件重新打包为jffs2格式，打包后的文件系统通过tftp下载到uboot，此时文件系统还只是在RAM中，断电或者重启后数据就会丢失，所以后面还需要将RAM中的文件系统数据用nand write命令写入到nand flash的文件系统分区。

通过上面步骤将修改后的文件系统刷入 nand flash文件系统分区后，重启设备，成功开启console，进入linux shell。

上面通过修改文件系统实现了从本地console进入到linux shell。设备默认没有telnet服务，为了方便后续管理设备，考虑移植个telnet server到设备中。

查看固件中程序信息,发现程序是使用buildroot编译，所以尝试使用Buidroot 2017.05编译一个带有telnetd的busybox移植到设备。

https://buildroot.org/downloads/ 下载buildroot 2017.05版本

进入编译配置界面

配置界面选项主要根据下图固件中文件的信息，ARM 、ELF32、LSB、EABI5 等配置，ld-linux.so.3说明用的是glibc库 。

接着设置busybox相关选项，添加telnetd

以上设置完成后执行make进行编译，编译完成后在当前目录会生成output文件夹，编译好的busybox在output文件夹中，生成的telnetd是链接到busybox的，所以这里直接将生成的busybox移植到路由器即可。将编译的busybox复制到固件文件系统/bin目录并重命名为busybox2

在路由器文件系统自启动目录/etc/rcS.d下找个文件，加入busybox2 telnetd的启动命令

上面修改完成后，重新将文件打包成jffs2文件系统，然后通过tftp下载到uboot，最后nand write写入到nand flash文件系统，重启设备，telnet服务会自动启动，通过telnet客户端成功连接到路由器，后续动态调试移植gdbserver也可使用类似方法。

通过uart打断uboot进入uboot shell，给内核启动参数添加init未能成功启动。根据启动日志搜索关键字符串定位到关闭console的程序，patch二进制程序开启console，修改root密码，将修改后的文件重新打包通过tftp下载到uboot中，最后使用nand write写入到nand flash文件系统分区，实现从本地console进入到linux shell。最后使用Buidroot编译一个带有telnetd的busybox移植到设备，实现telnet登录到设备。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课