Upgrade to Pro — share decks privately, control downloads, hide ads and more …

武蔵野さんを真似て 中古ルーターを分解した話

Avatar for Daniel Sangorrin Daniel Sangorrin
December 15, 2018
How-to & DIY
3
980

武蔵野さんを真似て 中古ルーターを分解した話

Here I talk about my first steps disassembling the a second hand router that I got from Hard-Off
Avatar for Daniel Sangorrin

Daniel Sangorrin

December 15, 2018
Tweet

More Decks by Daniel Sangorrin

See All by Daniel Sangorrin
ファミコンエミュレータで ゲームプログラミング
Avatar for Daniel Sangorrin sangorrin
0
840
ファミコンアセンブリ入門
Avatar for Daniel Sangorrin sangorrin
0
740
Opentoonz
Avatar for Daniel Sangorrin sangorrin
2
490
FMP on QEMU
Avatar for Daniel Sangorrin sangorrin
0
1.8k
PyQt で中古オシロスコープを操作
Avatar for Daniel Sangorrin sangorrin
2
1.3k
Fuego: 組込みLinuxテストフレームワーク
Avatar for Daniel Sangorrin sangorrin
1
2.4k

Other Decks in How-to & DIY

See All in How-to & DIY
生成AIとミニ四駆で学ぶ! MATLAB/Simulink
Avatar for covao / Koichi Kobayashi covao
1
300
ラズパイカメラ向け ケーブル延長基板・ハウジングの開発
Avatar for K.Masaki koheimasaki
PRO
1
250
音に負けない!子どもが騒いでいる脇でも快適オンラインMTGの秘伝
Avatar for Kaito UDAGAWA kaitou
0
380
HCIのデモに役立つ映像活用アイデア集 #WISS2024 ナイトセッション #HCIVideoCulture
Avatar for BONSAI STUDIO bonsaistudiojp
2
830
静岡県のお相撲さん20240509/sumo_wrestler_from_shizuoka_prefecture_20240509
Avatar for 平野 尚志 nicepapa_hirano
0
220
Terra Charge|普通充電器ご利用ガイドブック / Terra Charge Ordinary Charger Guidebook
Avatar for Terra Charge contents
1
260
人はなぜコミュニティとつながると幸せを感じるのか
Avatar for 448jp | OKI Yoshiya 448jp
3
270
Why did my proposals get rejected?
Avatar for Masafumi Okura okuramasafumi
1
620
在宅フルリモートワークを可能にするスキルと知識n連発! / how to more effective remoteworking
Avatar for TAKANO Sho / @masaru_b_cl masaru_b_cl
3
1.1k
エンジニアになって2年間で学んだこと
Avatar for Keytone kaiphoenix
0
140
JAWS-UGについて JAWS-UG TOHOKU [青森] 弘前開催
Avatar for awsj communty program manager - Shigeru Numaguchi awsjcpm
0
160
240420MapillaryMeetup2024Tokyo
Avatar for Toshikazu SETO tosseto
0
220

Featured

See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
47
2.7k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
105
19k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
33
6.6k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
336
57k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
60k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.3k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
137
6.9k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
227
22k

Transcript

  1. 武蔵野さんを真似て 武蔵野さんを真似て 中古ルーターを分解した話 中古ルーターを分解した話 Daniel Sangorrin ( ダニエル ) @daromart

    https://speakerdeck.com/sangorrin https://sangorrin.blogspot.com/ https://github.com/sangorrin 東海道らぐ横浜集い2018冬の巻( 2018/12/15 )

  2. 10 月 27 日の OSC で 武蔵野さんのブ ースによったら

  3. 改めて、これは楽しいな と思った。僕もやりたい!

  4. 武蔵野さん、 ルータの分解には どんな道具がいい?

  5. こういうのはいい 買いました!

  6. それで、ある日 となりのハードオフで…

  7. 買っちゃいました!

  8. 主なスペック • 値段: 480 円 • 型番: TL-WR841N (JP) •

    Flash : 4 MiB (少なくて楽しい) • RAM : 32 MiB • ファームとソースを DL できるサイト: • https://www.tp-link.com/jp/download/T L-WR841N.html • イーサネットポート数: 4 個 + WAN • コンフィギュレーション画面: • http://192.168.0.1 (admin:admin)

  9. さー、あのカッコいい ドライバを使って みなきゃ

  10. あれれ?

  11. あれれ? https://ameblo.jp/fkifs600/entry-12288407770.html

  12. Android 携帯用の マクロレンズで チップを調べよう

  13. RAM だな!

  14. Qualcomm だな!

  15. SoC のスペック • Chip: QCA9533-BL3A • Qualcomm atheros • MIPS

    24Kc, 650 MHz – https://wikidevi.com/wiki/MIPS_24K • GPIO: 18 multiplexed pins • JTAG: GPIO 0,1,2,3 = TCK, TDI, TDO, TMS • UART 16650-equivalent (115200 bps): GPIO 10, 11 • レジスターのマニュアルは github の怪しいリポジトリで見付けた • https://github.com/Deoptim/atheros/

  16. SoC のスペック

  17. シリアルポートを 探して、 ハンダ付けしよう

  18. None

  19. Rx は R26 で 2.5V に pull-up になってたぜ

  20. Vcc やな!

  21. GND やな!

  22. Rx やな!

  23. Tx やな!

  24. Vcc を繋ぐな!

  25. 成功。。。 U-Boot 1.1.4 (Mar 25 2016 - 16:59:35) ap143-2.0 -

    Honey Bee 2.0 DRAM: 32 MB Flash Manuf Id 0xc8, DeviceId0 0x40, DeviceId1 0x16 flash size 4MB, sector count = 64 Flash: 4 MB Using default environment In: serial Out: serial Err: serial Net: ath_gmac_enet_initialize... Starting kernel ... Booting QCA953x Linux version 2.6.31 (tomcat@buildserver) (gcc version 4.3.3 (GCC) ) #13 Fri Mar 25

  26. だが。。。 TL-WR841N login: root Password: Login incorrect TL-WR841N login: admin

    Password: Login incorrect TL-WR841N login: root Password: Login incorrect Jan 1 00:03:30 login[199]: invalid password for `root' on `ttyS0' パスワードはなんなんやろう!

  27. ファームウェアを 分析しよう

  28. binwalk はすごい! $ git clone https://github.com/ReFirmLabs/binwalk.git $ cd binwalk/ $

    sudo ./deps.sh $ sudo python setup.py install $ binwalk -t wr841nv11_jp_3_16_9_up_boot\(160518\).bin DECIMAL HEXADECIMAL DESCRIPTION ------------------------------------------------------------------------------------------------------------------- 0 0x0 TP-Link firmware header, firmware version: 0.-15276.3, image version: "", product ID: 0x0, product version: 138477585, kernel load address: 0x0, kernel entry point: 0x80002000, kernel offset: 4063744, kernel length: 512, rootfs offset: 849290, rootfs length: 1048576, bootloader offset: 2883584, bootloader length: 0 13424 0x3470 U-Boot version string, "U-Boot 1.1.4 (Mar 25 2016 - 16:59:44)" 13472 0x34A0 CRC32 polynomial table, big endian 14784 0x39C0 uImage header, header size: 64 bytes, header CRC: 0x85572A9C, created: 2016-03-25 08:59:46, image size: 35924 bytes, Data Address: 0x80010000, Entry Point: 0x80010000, data CRC: 0xADACFD5C, OS: Linux, CPU: MIPS, image type: Firmware Image, compression type: lzma, image name: "u-boot image" 14848 0x3A00 LZMA compressed data, properties: 0x5D, dictionary size: 33554432 bytes, uncompressed size: 93944 bytes 131584 0x20200 TP-Link firmware header, firmware version: 0.0.3, image version: "", product ID: 0x0, product version: 138477585, kernel load address: 0x0, kernel entry point: 0x80002000, kernel offset: 3932160, kernel length: 512, rootfs offset: 849290, rootfs length: 1048576, bootloader offset: 2883584, bootloader length: 0 132096 0x20400 LZMA compressed data, properties: 0x5D, dictionary size: 33554432 bytes, uncompressed size: 2495224 bytes 1180160 0x120200 Squashfs filesystem, little endian, version 4.0, compression:lzma, size: 2791548 bytes, 590 inodes, blocksize: 131072 bytes, created: 2016-05-18 09:05:32 ルーターのファーム

  29. /etc/shadow $ cat _wr841nv11_jp_3_16_9_up_boot\(160518\).bin.extracted/squashfs-root/etc/shadow root:$1$GTN.gpri$DlSyKvZKMR9A9Uj9e9wR3/:15502:0:99999:7::: http://www.consumer.es/web/es/mascotas/perros/convivencia-y-psicologia/convivencia/2013/04/02/216310.php

  30. hashcat をインストール $ sudo service lightdm stop $ ./NVIDIA-Linux-x86_64-410.78.run $

    sudo apt-get install ocl-icd-libopencl1 opencl-headers clinfo $ git clone https://github.com/hashcat/hashcat $ hashcat -I hashcat (v5.0.0-113-g774b9bb) starting... OpenCL Info: Platform ID #1 Vendor : NVIDIA Corporation Name : NVIDIA CUDA Version : OpenCL 1.2 CUDA 10.0.206 Device ID #1 Type : GPU Vendor ID : 32 Vendor : NVIDIA Corporation

  31. hashcat の使い方 $ echo -n mypass | md5sum a029d0df84eb5549c641e04a9ef389e5 $

    hashcat -w 2 -m 0 -a 3 -1 ?l a029d0df84eb5549c641e04a9ef389e5 ?1?1?1?1?1?1 -> a029d0df84eb5549c641e04a9ef389e5:mypass • hashcat syntax -m hash-type (md5:0) -a attack-mode (brute-force:3) -1 custom charset number 1 l:lowercase, u:uppercase, d:digits, h:hex, H:hexupper, s:symbols a:luds -w performance (1:minimal, 2:noticeable 3:unresponsive 4:headless) ?1?1?1?1?1?1: this means a word with 6 letters, where each letter can be in charset 1 (-1 ?l <-- a lower case letter)

  32. がんばれ! $ hashcat -w 2 -m 500 -a 3 -1

    ?l shadow ?1?1?1?1?1?1?1 [s]tatus [p]ause [b]ypass [c]heckpoint [q]uit => s Session..........: hashcat Status...........: Running Hash.Type........: md5crypt, MD5 (Unix), Cisco-IOS $1$ (MD5) Hash.Target......: $1$GTN.gpri$DlSyKvZKMR9A9Uj9e9wR3/ Time.Started.....: Sun Dec 2 10:58:58 2018 (20 secs) Time.Estimated...: Tue Dec 4 12:34:57 2018 (2 days, 1 hour) パスワードは 9 文字を 推測の場合

  33. 近道 $ hashcat --potfile-disable -i --increment-min=6 -w 3 -m 500

    -a 3 -1 ?l -O shadow \ ?1?1?1?1admin パスワードは 6 ~ 9 文字で admin で終わることを 推測の場合 $1$GTN.gpri$DlSyKvZKMR9 A9Uj9e9wR3/:sohoadmin

  34. 実は このハッシュを グーグルで探せば 出てくる

  35. さー、動くのかな!

  36. 成功!

  37. よし、次はソースからビ ルドしたい!

  38. ソースのビルド [Note] Host: ubuntu 12, gcc 4.6.3, make 3.81 $

    tar xvf TL-WR841NV11_eu.tar.gz $ cd TL-WR841NV11_eu/build $ make 意外と簡単! make mk_squashfs_build fs_size=0x2C0000 make fill_model_conf cp: cannot stat ‘/home/dsl/Desktop/tl-wr841n/rootfs/source/TL- WR841NV11_eu/build/../build/products_config/wr841nv11_eu//version.conf’: No such file or directory make[2]: [fill_model_conf] Error 1 (ignored) ENCRYPT len:1496 fakeroot: preload library `libfakeroot.so' not found, aborting. make: *** [wr841nv11_eu] Error 2 エラー!

  39. 何のエラーだろう!? $ less ./util/fakeroot/install/bin/fakeroot FAKEROOT_PREFIX=/home/liqiang/workdir/NewCodePath/Base_version/model_qca/build/../util/fakeroot/install FAKEROOT_BINDIR=/home/liqiang/workdir/NewCodePath/Base_version/model_qca/build/../util/fakeroot/install/bin PATHS=/home/liqiang/workdir/NewCodePath/Base_version/model_qca/build/../util/fakeroot/install/lib:$ {FAKEROOT_PREFIX}/lib64/libfakeroot:${FAKEROOT_PREFIX}/lib32/libfakeroot liqiang さん、

    元気ですか $ vi ./util/fakeroot/install/bin/fakeroot - /home/liqiang/workdir/NewCodePath/Base_version/model_qca/build/../util/ + /home/myuser/Desktop/tl-wr841n/rootfs/source/TL-WR841NV11_eu/util 簡単なフィックス

  40. 調べると、このルーター は深センの南山でつく られた

  41. Makerfaire の場所!

  42. どんなものが入るの? • /bin/busybox • /sbin/80211stats • /sbin/apstats • /sbin/athstats •

    /sbin/athstatsclr • /sbin/iptables-multi • /sbin/pktlogconf • /sbin/pktlogdump • /sbin/tc • /sbin/wifitool • /sbin/wlanconfig • /usr/arp • /usr/net_ioctl • /usr/bin/lld2d • /usr/sbin/bpalogin • /usr/sbin/dropbearmulti • /usr/sbin/pppd • /usr/sbin/xl2tpd

  43. ちょっとだけ変更して ファームを アップグレードしてみる

  44. GPIO 操作したい - kernel.conf CONFIG_GPIOLIB=y CONFIG_GPIO_SYSFS=y $ vi drivers/gpio/Kconfig -

    remove dependency on arch_want_gpiolib - fstab $ find . -iname fstab $ vi ./filesystem/ap93fus/etc/fstab sysfs /sys sysfs nosuid,noexec,nodev 0

  45. ビルドして、アップグレードすると 0x000000000000-0x000000020000 : "u-boot" 0x000000020000-0x000000120000 : "kernel" 0x000000120000-0x0000003e0000 : "rootfs"

    0x0000003e0000-0x0000003f0000 : "config" 0x0000003f0000-0x000000400000 : "art" ->Oops: flash id 0xc84016 . Ooops, why the devices couldn't been initialed? TCP cubic registered NET: Registered protocol family 10 NET: Registered protocol family 17 802.1Q VLAN Support v1.8 Ben Greear <[email protected]> All bugs added by David S. Miller <[email protected]> athwdt_init: Registering WDT success VFS: Mounted root (squashfs filesystem) readonly on device 31:2. Freeing unused kernel memory: 120k freed Please be patient, while OpenWrt loads .. ... BRICK しちゃった!

  46. オリジナルの復元 $ sudo ifconfig eth0:1 192.168.0.66 netmask 255.255.255.0 $ sudo

    cp wr841nv11_jp_3_16_9_up_boot\(160518\).bin /var/lib/tftpboot/wr841nv11_tp_recovery.bin 後は ボタンは2つを押しながら 再起動

  47. UNBRICK できた! TFTP from server 192.168.0.66; our IP address is

    192.168.0.86 Filename 'wr841nv11_tp_recovery.bin'. Load address: 0x80800000 Loading: ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# ################################################################# ############## done Bytes transferred = 4063744 (3e0200 hex) Firmware recovery: product id verify sucess! Firmware recovery: filesize = 0x3e0200. Erasing flash... First 0x2 last 0x3d sector size 0x10000 61 Erased 60 sectors Copy to Flash... write addr: 9f020000 done UNBRICK 成功!

  48. 次は何しようかな

  49. やりたいこと • GPIO は使えるようにして、サーボやリモコン を操作できるように • WiFi のサーバーにアプリを作って、携帯から API を使えるように

    • 例:携帯からリモコンを操作して、エアコン やライトを動作する • JTAG のピンを探して、 JTAG の勉強もしたい

  50. 後、ハードオフで 新しいオモチャを 買ったので それの分解も やりたい

  51. 参考文献 • https://oldwiki.archive.openwrt.org/toh/tp-link/tl-wr841nd • https://github.com/Deoptim/atheros/ • https://wiki.dd-wrt.com/wiki/index.php/TP-LINK_TL-WR841ND • https://greggborodaty.com/installing-dd-wrt-tp-link-tl-wr841n/

  52. ご清聴 ありがとう ございました