首页
社区
课程
招聘
[原创]中兴ZTE ZX279128S芯片固件解密
发表于: 2023-4-23 23:10 32339

[原创]中兴ZTE ZX279128S芯片固件解密

2023-4-23 23:10
32339
收藏
免费 8
支持
分享
最新回复 (78)
雪    币: 204
活跃值: (329)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
51
badboyl 我知道你装clash想干嘛
想用newbing呗,不跟上时代,人就要落伍了。
2023-5-4 18:36
0
雪    币: 1161
活跃值: (1569)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
52
rsa签名校验,我也是看网友说的,不过不是ZX279128S芯片,是最新的ZX279132,你若有兴趣可以看一眼,貌似uboot也加密了
https://akbwe.com/posts/trying-to-modify-f7607p-rootfs/
我手上有F7607P/G7615两个型号的带2.5G口的猫,是最新的ZX279132芯片,自身能力不行没有实际实践
2023-5-4 19:47
0
雪    币: 204
活跃值: (329)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53

通过认真比对反汇编指令与kernel源码,最后一个指针也被我找到了,特征也被我总结出来了,至此,修改中兴固件文件系统,实现内核注入工具就这样被我完美制造出来啦,明天完善工具,把另一个GM630-R的光猫固件也拿来测试一下,试试通用性如何。


更新于5月5日中午。

悲剧,我昨晚我以为找到了最后一个指针,结果今天把工具都写完了,测试发现那个指针的值一点用也没有,就和花指令一样毫无意义,还得继续找,唉。


批量识别arm固件基地址应当是4的整数倍或奇数,因为ARM模式指令地址是4的整数倍,THUMB模式指令地址是奇数。

最后于 2023-5-5 19:56 被XYUU编辑 ,原因:
2023-5-4 23:56
0
雪    币: 204
活跃值: (329)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
54
龙岱客 rsa签名校验,我也是看网友说的,不过不是ZX279128S芯片,是最新的ZX279132,你若有兴趣可以看一眼,貌似uboot也加密了 https://akbwe.com/posts/trying ...
没必要加密的,这种东西本身的难度已经足够难住绝大部分人了,哪需要还搞个证书去加密uboot和固件呢?能完成这种固件编辑的人很少的,我知道难度,成本超过了绝大多数人所能接受的程度。我花了30个日子,完整来算,每天搞到凌晨,早上8点就坐在电脑前研究了,一天16个小时。若不是兴趣和好奇心,我完全没办法坚持到现在。
2023-5-5 00:03
0
雪    币: 1161
活跃值: (1569)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
55
        你的坚持大家可以感受得到,有的人靠兴趣爱好坚持,有的人靠商业目的坚持,有的人两者皆有。
        有没有必要加密不是我们说了算,有更强更完善的防篡改加密是实际存在的,我们当然不希望厂家加各种限制,可以随便轻易折腾,但这不是我们能决定的。
        期待你的进一步分享,感谢。
2023-5-5 07:55
0
雪    币: 204
活跃值: (329)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
56

想做一个通用的固件编辑工具,目前两台光猫设备都搞定了,型号:GM693-R、H3-2s

明天开始写一个在web上在线修改的界面,放到网上提供服务了,这种方式应该是通用的方法了,既能适用于中兴光猫,也能适用于其他将initramfs编译到kernel里的固件。终于迎来胜利的时刻……

最后于 2023-5-8 20:02 被XYUU编辑 ,原因:
2023-5-8 09:18
0
雪    币: 1161
活跃值: (1569)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
57
XYUU 想做一个通用的固件编辑工具,目前两台光猫设备都搞定了,型号:GM693-R、H3-2s。明天开始写一个在web上在线修改的界面,放到网上提供服务了,这种方式应该是通用的方法了,既能适用于中兴光猫,也能 ...
恭喜楼主终于迎来胜利的时刻……
2023-5-8 23:43
0
雪    币: 1
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
58
XYUU 想做一个通用的固件编辑工具,目前两台光猫设备都搞定了,型号:GM693-R、H3-2s。明天开始写一个在web上在线修改的界面,放到网上提供服务了,这种方式应该是通用的方法了,既能适用于中兴光猫,也能 ...
提醒一下你,你的行为已经超出著作权里的研究学习范畴,建议你删帖,相关公司的法务不是吃素的,追究起来你会很麻烦,尤其是你的标题,使用中兴芯片的不一定是中兴产品,安全boot方案和版本加密是否采用由芯片客户决定是否采用,标题给中兴造成了名誉损失了。
2023-5-29 11:45
1
雪    币: 204
活跃值: (329)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
59
mb_amrkqlud 提醒一下你,你的行为已经超出著作权里的研究学习范畴,建议你删帖,相关公司的法务不是吃素的,追究起来你会很麻烦,尤其是你的标题,使用中兴芯片的不一定是中兴产品,安全boot方案和版本加密是否采用由芯片客 ...

这个东西无论是uboot还是linux内核,都属于GPL协议,按照开源协议本来就应该开源的吧,结果不但不开源还要告侵权?

安全和开源不冲突,安全boot方案也可以开源呀。

最后于 2023-6-30 19:26 被XYUU编辑 ,原因:
2023-6-30 19:14
0
雪    币: 472
活跃值: (280)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
60

没有这款设备

有的光猫目录 /usr/local/osgi/local/j2re/bin 可写

将目录下面的 java 改名 java2,新建脚本文件 java 并增加执行权限(chmod +x)

====================

#!/bin/sh


# 这里新增需要的脚本


LD_LIBRARY_PATH=/usr/local/osgi/local/j2re/lib/arm/server:$LD_LIBRARY_PATH

PATH=/usr/local/osgi/local/j2re/bin:$PATH

java2 $* &
====================

重启即可

上面脚本会重复启动,可以增加一些检查代码

最后于 2023-8-12 18:53 被何松林编辑 ,原因: 原来的内容与设备不匹配
2023-8-12 17:52
1
雪    币: 256
活跃值: (4060)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
XYUU mb_amrkqlud 提醒一下你,你的行为已经超出著作权里的研究学习范畴,建议你删帖,相关公司的法务不是吃素的,追究起来你会很麻烦,尤其是你的标 ...
这玩意改人产品容易被搞,我这边上次就看到一个帮人刷光猫赚钱然后被起诉的
2023-8-12 18:20
0
雪    币: 2787
活跃值: (30801)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
62
感谢分享
2023-8-12 23:13
1
雪    币: 61
活跃值: (2340)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
63
龙岱客 不要轻言放弃,哈哈,至少解包封包等你掌握很多了。 我的E1600已经找到开Telnet的方法了,解密配置文件,修改开Telnet相关参数,加密再上传恢复用户配置文件,自动重启搞定,难点在如何找到配置 ...
请问能够给一些资料怎么解开config.bin的么,以及密码去哪找的?
2023-9-4 21:32
0
雪    币: 1161
活跃值: (1569)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
64
Seclusion 请问能够给一些资料怎么解开config.bin的么,以及密码去哪找的?
也是E1600吗,不同型号加解密算法不一样的
2023-9-5 16:53
0
雪    币: 61
活跃值: (2340)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
65
龙岱客 也是E1600吗,不同型号加解密算法不一样的
E1630师傅,应该去哪找这个key的呢?
2023-9-5 18:06
0
雪    币: 1161
活跃值: (1569)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
66
Seclusion E1630师傅,应该去哪找这个key的呢?

E1630应该好弄

用中兴光猫的TelnetONU工具可开Telnet

有人逆向公布了算法,可用如下开源工具

https://github.com/douniwan5788/zte_modem_tools

最后于 2023-9-8 07:37 被龙岱客编辑 ,原因:
2023-9-7 19:48
0
雪    币: 61
活跃值: (2340)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
67
龙岱客 Seclusion E1630师傅,应该去哪找这个key的呢? E1630应该好弄用中兴光猫的TelnetONU工具可开Telnet有人逆向公布 ...
好嘞,谢谢师傅
2023-9-11 10:02
0
雪    币: 204
活跃值: (329)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
68
想过这个办法,就是利用Java的入口。但这种办法导致的问题也挺多,主要就是破坏了一些一致性。因为Java这个实际上是用了一个Felix之类的框架,这玩意会被多个插件启动,于是就会启动多次,所以我没想用这个方法。
2023-9-20 00:41
0
雪    币: 0
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
69
大佬您好,阅读您的帖子受益良多。

我手里有个光猫爆改的,移动免费送的“WIFI6”路由器,拆开一看是这个方案。
TTL进去有密码,UBOOT无法tftp回传,靠着毅力用脚本一行行把整个flash读回来(115200bps的物理速率),找到方法开了telnet,现在进去可以随便玩。看了您帖子里资料,这东西相当于挂了个PCIE卡和交换机,

我其实很想整个内核编一个openwrt玩玩,不然这128MB的SLC FLASH浪费了。
想问一下您的内核源码从何而来,是主线直接编译的吗?
2023-12-27 23:56
0
雪    币: 2819
活跃值: (6576)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
70
wxnxwx 大佬您好,阅读您的帖子受益良多。 我手里有个光猫爆改的,移动免费送的“WIFI6”路由器,拆开一看是这个方案。 TTL进去有密码,UBOOT无法tftp回传,靠着毅力用脚本一行行把整个flas ...
linux 内核使用的是强制开源的协议,你可以去找中兴要linux内核源码。这openwrt项目估计有 https://github.com/xuejian1354/openwrt_cc
2023-12-28 07:00
0
雪    币: 0
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
71
微启宇 linux 内核使用的是强制开源的协议,你可以去找中兴要linux内核源码。这openwrt项目估计有 https://github.com/xuejian1354/openwrt_cc
国内公司一般不都自动忽略这种请求嘛,不知道有成功案例没有。
github上那个我看过了只有openwrt的makefile,没有程序文件,里面引用的工具链和3.18版本内核不是主线内核,主线根本没有zte支持。
2023-12-28 09:10
0
雪    币: 2819
活跃值: (6576)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
72
wxnxwx 国内公司一般不都自动忽略这种请求嘛,不知道有成功案例没有。 github上那个我看过了只有openwrt的makefile,没有程序文件,里面引用的工具链和3.18版本内核不是主线内核,主线根本没有 ...
有呀,之前不是闹得沸沸扬扬的那个程序员去某公司拿开源代码事件。给中兴写封英文邮件让中兴给内核源码, 中兴不给国内是怕培养竞争对手。
2023-12-28 20:04
0
雪    币: 0
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
73
微启宇 有呀,之前不是闹得沸沸扬扬的那个程序员去某公司拿开源代码事件。给中兴写封英文邮件让中兴给内核源码, 中兴不给国内是怕培养竞争对手。
事实证明几乎是行不通的,口口声声喊着compliance,结果他们官网支持邮箱都是空号。
2024-1-4 16:08
0
雪    币: 3220
活跃值: (3271)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
74
dump出来的看一堆数据,啥符号都没有
2024-1-4 16:54
0
雪    币: 197
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
75
期待楼主的大作。
一般光猫折腾openwrt就够了,里边基本可以达到楼主最初目的,我就是里边装各种dropbear、frp、ddnsgo、clash等等。

你研究的方向更倾向于直接给整个硬件刷机,自编译openwrt系统了。之前恩山看有人对中兴F660直接刷openwrt的,楼主可以看下。
https://www.right.com.cn/forum/thread-4160522-1-1.html

感谢楼主分享,启发非常大
2024-1-17 11:35
0
游客
登录 | 注册 方可回帖
返回
//