斐讯K2刷机

斐讯K2高版本刷机

1、先进入官方固件的后台,修改其时间为01:00

jd拿了个免费的斐讯K2:
软件版本: 22.4.5.42
设备型号: K2
硬件版本: A2
斐讯 K2 刷机 - 图1
据说有收集用户信息的问题:
1
需要刷第三方固件或对原版固件进行净化处理

1、刷breed
breed类似uboot,用于路由器的引导,刷了breed后,可以方便的刷第三方固件
这里使用的是利用网页执行脚本的漏洞安装breed
便携机无线连接K2,K2 WAN口连internet,先保证可以正常上网
用Firefox,傲游,Chrome等登录http://192.168.2.1
选择右上角的“定时重启路由器”
点选时间中的右侧下拉分钟选择框,鼠标箭头(手势)放在05上,点击鼠标右键,在Firefox或傲游浏览器“审查元素”(傲游浏览器先按“F12”按键打开审查页面后再点击定时重启):
斐讯 K2 刷机 - 图2
双击”05”,改为你要执行的命令:
斐讯 K2 刷机 - 图3
改为:
05 | wget http://breed.hackpascal.net/breed-mt7620-phicomm-psg1208.bin
在定时重启路由器页面上重新选择05之后(这里要注意,一定要重选,并且重选后可以看到05后面自己输入的字符):
斐讯 K2 刷机 - 图4
点击“保存”按钮后,就相当于K2执行了wget获取文件的命令。
重复上述过程,分别改为:
05 | mtd unlock Bootloader
05 | mtd -r write breed-mt7620-phicomm-psg1208.bin Bootloader
上述操作是利用漏洞执行了3条命令,下载breed并写入bootloader,最后一次保存后,路由器会写breed并重启。
如果路由器没有自动重启,说明操作过程有误,请仔细检查操作过程。
你可以用此方法让K2执行任何命令(比如下面的安装SSH的命令)。

进入Breed方法:
拔除K2上Wan口的网线,路由器断电,持续按住路由器上的reset按钮,接通路由器电源,3秒后松开reset按钮。
在浏览器地址栏输入“http://192.168.1.1”访问Breed Web。
进入Breed Web后,请及时进行原始EEPROM、固件备份,然后再刷其他的固件。
斐讯 K2 刷机 - 图5
如果不想刷其他第三方固件,想对原版固件进行净化,继续往下处理:
开启telnet方法(此步骤可省,可直接用WEB漏洞安装SSH):
先用breed备份eeprom文件,将备份出来的文件用ultraedit修改:
斐讯 K2 刷机 - 图6
将0x26、0x27位置修改为10、70,然后通过breed的“固件更新”写入修改的eeprom
重启后可用telnet 192.168.2.1进入shell界面(无密码):
斐讯 K2 刷机 - 图7
或者可以用web漏洞直接执行:
/usr/sbin/telnetd -l /bin/login.sh
也可以开启telnet

安装SSH:
telnet登录后执行(其实ssh也可以通过WEB漏洞来安装,可以省去安装telnet步骤):
opkg install http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/base/dropbear_2014.63-2_ramips_24kec.ipk # 开机自启 /etc/init.d/dropbear enable # 更改root密码为 admin echo -e ‘admin\nadmin’ | passwd root # 启动 /etc/init.d/dropbear start
原版固件的净化:
进shell后,先把定时任务干掉
斐讯 K2 刷机 - 图8
第二个任务是上面设置的定时重启,在web页面关闭
第一个任务比较可疑,半夜两点上传数据?
winscp找到/usr/lib/lua/luci/tools/scheduletask.lua文件
修改luci.sys.call(“cp -f %s %s > /dev/null” % {defaultrule,crontabpath})

—luci.sys.call(“cp -f %s %s > /dev/null” % {defaultrule,crontabpath})
luci.sys.call(“touch %s” % {crontabpath})

再看有没有可疑网络程序
斐讯 K2 刷机 - 图9
禁用可疑程序:
/etc/init.d/lc stop
/etc/init.d/lc disable
http_event_inform是厂家远程管理的tr069程序
/etc/init.d/tr069 stop
/etc/init.d/tr069 disable
查看可疑进程:
斐讯 K2 刷机 - 图10
禁用可疑程序:
/etc/init.d/collect stop
/etc/init.d/collect disable

telnet不安全,把telnet也禁掉:
/etc/init.d/telnetd_startup stop
/etc/init.d/telnetd_startup disable

重启后网络进程清爽了:

备份修改以后的固件:
斐讯 K2 刷机 - 图11

去除鼠标右键限制:
/usr/lib/lua/luci/view/themes/bootstrap/header.htm
找到
oncontextmenu=self.event.returnValue=false
删除
斐讯 K2 刷机 - 图12

增加功能,比如要增加一个定时开关WIFI的功能(睡觉时间自动将WIFI关闭)
如果是通过shell几行命令就搞定了,我们搞复杂点,实现通过web来配置:
打开/usr/lib/lua/luci/view/themes/bootstrap/header.htm
找到


  • 定时重启路由器

    • 在下面增加:

  • 定时重启WIFI

    • 界面上会出现新增菜单:
    斐讯 K2 刷机 - 图13
    依葫芦画瓢修改header.htm增加配置界面:
    斐讯 K2 刷机 - 图14
    还需依照/etc/config/timereboot、/usr/lib/lua/luci/controller/admin/timereboot.lua增加相应文件,省略一万字…
    所有实现此功能需要修改的文件打包如下,有兴趣者可以参考:
    K2

    软件包添加
    现在我们尝试增加一个广告屏蔽的软件包adbyby
    首先增加一个控制界面,还是修改/usr/lib/lua/luci/view/themes/bootstrap/header.htm
    找到<% elseif v == “more_wlextend” then %>,在此语句上方添加:
    <% elseif v == “adbyby” then %>

  • 广告屏蔽

    • 再依葫芦画瓢修改/usr/lib/lua/luci/view/admin_index/index.htm文件:
    else if(v == “adbyby”)
    {
    nhref = “<%=luci.dispatcher.build_url(“admin”, “adbyby”)%>”;
    $(tbsid).html(“广告屏蔽”)
    }
    增加/usr/lib/lua/luci/controller/admin/adbyby.lua、/usr/lib/lua/luci/model/cbi/adbyby.lua、/etc/config/adbyby等文件,文件内容可以对应目录powersave的内容进行修改。
    刷新界面,出现新菜单:
    斐讯 K2 刷机 - 图15
    修改的文件包如下:
    adbyby
    界面修改后,需加入adbyby的可执行文件,由于adbyby的文件较大,而原版固件的剩余空间较少,只有500多K:
    斐讯 K2 刷机 - 图16
    因此需进行变通,有人做了一个在ram中运行的adbyby版本:
    1
    占用flash空间只有20多K,由于程序未开源,有一定风险,安装:
    opkg install http://tianbao.sf.net/adbyby
    开启
    tb ad on
    关闭
    tb ad off
    开启后,程序下载http://update.adbyby.com/download/7620n.tar.gz到/tmp(ram),再解压到/tmp/adbyby运行:
    /tmp/adbyby/bin/adbyby
    规则更新URL在/tmp/adbyby/bin/update.info文件
    程序会启动一个tbb程序来定时(间隔123秒)检查下载规则
    参考此程序的过程,我们可以创建一个脚本文件,比如/root/adbyby.sh,内容如下:
    cd /tmp #等待网络连接成功 wget_ok=”0” rm -f 7620n.tar.gz while [ “$wget_ok” = “0” ] do wget http://update.adbyby.com/download/7620n.tar.gz if [ “$?” == “0” ]; then wget_ok=”1” else sleep 30 fi done #解压、启动adbyby mkdir -p adbyby tar -zvxf 7620n.tar.gz -C ./adbyby cd ./adbyby/bin ./startadbb
    修改文件权限为755,我们可以将/root/adbyby.sh加入到自启文件/etc/rc.local中,开启自动启动,不过由于要控制adbyby启动和停止,因此最好创建一个服务,新建
    /etc/init.d/adbyby #!/bin/sh /etc/rc.common START=80 start() { /root/adbyby.sh & } stop() { cd /tmp/adbyby/bin ./stopadbb } restart() { stop start }
    修改权限为755,执行/etc/init.d/adbyby enable将服务加入自启动
    下一步是将界面和可执行文件关联起来。此部分主要修改/usr/lib/lua/luci/model/cbi/adbyby.lua文件,控制adbyby的停止与运行,以及读取规则文件日期,修改文件如下:
    adbyby
    修改的所有文件打包如下:
    k2_mod

    完整的修改后的固件如下:
    firmware_k2_blue_adbyby
    ssh用户名:root
    ssh及web密码:admin

    可以用两种方式烧写此固件:
    1、解压后winscp上传到K2路由器的/tmp目录,然后ssh执行“mtd -r write /tmp/firmware_k2_blue_adbyby.bin firmware”即可
    2、解压后可以在breed中直接烧写此固件
    adbyby功能验证:
    K2界面显示adbyby运行状态显示“运行中”:
    斐讯 K2 刷机 - 图17
    打开优酷视频(http://www.youku.com/),点击一个视频浏览,会自动跳过广告。

    下面继续尝试加入SSR for Openwrt
    K2原版固件虽然只剩下500多K空间,不过由于K2自带了libopenssl和libpcre库,因此还是可以装下SSR的
    首先重新用openwrt 14.07 SDK编译源码项目:
    1
    将编译好的luci-app-shadowsocksR-Client_1.2.1_all.ipk安装到K2,注意K2需修改/etc/opkg.conf,改为正确的源地址:
    src/gz barrier_breaker_base http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/base
    src/gz barrier_breaker_packages http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/packages
    src/gz barrier_breaker_luci http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/luci
    src/gz barrier_breaker_routing http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/routing
    src/gz barrier_breaker_management http://downloads.openwrt.org/barrier_breaker/14.07/ramips/mt7620a/packages/management
    然后opkg update后再安装。
    按照上面添加adbyby的方法在K2界面上添加SSR界面:
    斐讯 K2 刷机 - 图18
    接下来需要对SSR的代码进行修改,将shadowsocksr的路径由admin/services/shadowsocksr/改为admin/shadowsocksr/,因为K2原版没有admin/services/路径。
    还有一点比较奇怪的是lua中不能使用“o.rmempty = false”语句了,如果使用就出错,需要把所有此语句删除。
    一顿大改后,功能基本正常了,界面还需调整。
    界面调整修改/www/luci-static/bootstrap/css/cbi.css,增加一些样式:
    斐讯 K2 刷机 - 图19

    斐讯 K2 刷机 - 图20
    检查SSR的功能,发现防火墙规则没有起来,问题出在ipset上,运行ipset,提示错误:
    root@K2:~# ipset list
    ipset v6.20.1: Cannot open session to kernel.
    搜索openwrt,发现并没有K2固件中的3.10.14内核版本,google搜索发现3.10.14为MTK出的一个openwrt版本:
    1
    下载后重新编译所需要的各个ipk
    编译成功后,lsmod可以发现能够加载ipset模块了,但是运行还是报错:
    root@K2:~# ipset list
    ipset v6.30: Kernel error received: message could not be created
    还是不行,可能是内核原因,无解了
    准备回到解放前,用iptables一条条的添加防火墙规则
    好不容易把SSR给折腾成功了,目前的ssr特性:
    支持两种dns解析方式:
    1、远程解析:本地域名是被污染的,由远程ssr服务器进行二次解析,本地不对dns做处理
    2、pdnsd解析:用支持tcp方式的dns隧道进行gfw列表站点的解析,在本地能获取到正确的域名对应的IP地址
    采用路由方式进行代理:中国网段的IP不走代理;中国以外的IP走透明代理访问;
    在实际测试时发现一个问题,由于设置ssr后,要对dnsmasq进行重启,日志中会打印大量gfw列表的信息:
    Mon Feb 20 19:32:44 2017 daemon.info dnsmasq[6760]: using nameserver 127.0.0.1#5353 for domain 1984bbs.org
    Mon Feb 20 19:32:44 2017 daemon.info dnsmasq[6760]: using nameserver 127.0.0.1#5353 for domain 1984bbs.com
    Mon Feb 20 19:32:44 2017 daemon.info dnsmasq[6760]: using nameserver 127.0.0.1#5353 for domain 1949er.org
    ..
    gfw列表有4000多条,打印信息较多,在其他openwrt可能只占用几秒的CPU处理时间,但是在K2上发现CPU占用100%(0% idle)的时间达到90秒!
    斐讯 K2 刷机 - 图21
    没办法,重新编译了一个dnsmasq,屏蔽打印输出,替换K2的/usr/sbin/dnsmasq文件

    2、开启 05 | telenet 这个补充的命令开启telenet

    01:00 | wget http:192.168.2.2:806/breed.bin //先搭建web系统
    01:00 | mtd unlock Bootloader
    01:00 | mtd -r write breed.bin Bootloader
    01:00 | telnetd -l /bin/login.sh
    01:00 | telnetd -l /bin/ash //无需密码登入
    在 rcS 加入 telnetd -l /bin/sh & 即可
    YWRtaW4=
    YWRtaW4x
    YWRtaW4y
    01:00 | mtd write breed.bin Bootloader