关于TP-LINK VxWorks固件头的修改

冷焰心 · 发表于 2014-6-24 10:34

本帖最后由冷焰心于 2014-6-24 11:10 编辑

以http://service.tp-link.com.cn/detail_download_1366.html的固件wr842nv4-cn-up.bin为例

路由是wr842n v4

16进制编辑器打开后，头部内容如下：固件总大小：0x0D52B3
00000000h: 00 14 2F C0 E6 C0 46 3D 33 26 26 BF 80 05 6F F9 ;
00000010h: 4D 6C 85 98 49 4D 47 30 00 0D 52 A0 08 42 00 04 ;
00000020h: 00 00 00 00 5A 01 03 07 01 00 00 00 00 00 00 00 ;
00000030h: 00 00 00 00 00 00 00 00 00 00 F0 00 00 00 00 00 ;
00000040h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ;
00000050h: 00 00 00 00 00 00 00 80 00 0D 52 20 00 00 00 00 ;
00000060h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ;
00000070h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ;
00000080h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ;

根据https://www.right.com.cn/forum/thread-133841-1-1.html，我觉得信息应该如下：
0x00-0x03 00 14 2F C0                                     去除校验码后固件大小
0x04-0x13 E6 C0 46 3D 33 26 26 BF 80 05 6F F9 4D 6C 85 98  校验码（MD5值）
0x14-0x17 49 4D 47 30                                     IMG镜像起始标识（VxWorks）
0x18-0x1B 00 0D 52 A0                                     去除头部+校验码（0x00-0x13）后固件大小
0x1C-0x1F 08 42 00 04                                     产品型号&版本
0x58-0x5B 00 0D 52 20                                     从0x94开始至结尾的大小

将
E6 C0 46 3D 33 26 26 BF 80 05 6F F9 4D 6C 85 98
替换为
CC 96 28 EE 8D FB 21 BB 3D EF 6C B5 9F 77 4C 7C

然后另存为其它名字的文件，再计算这个文件的MD5，
会发现结果就是E6 C0 46 3D 33 26 26 BF 80 05 6F F9 4D 6C 85 98

接着：
0x0D52B3-0x13=0xD52A0
0x0D52B3-0x93=0xD5220

关于0x00-0x03的值00 14 2F C0是从哪儿计算的，目前还不清楚。

请不要胡乱输入以及粘贴、复制等方式灌水

请尊重作者、并共同维护网站的正常阅读，否则账户将会被限制发帖、回帖，并且积分可能会被清零，站内短信以及阅读权限等都会受到影响，谢谢。具体限制方式：https://www.right.com.cn/forum/thread-8307840-1-1.html

冷焰心 · 发表于 2014-6-24 11:09

本帖最后由冷焰心于 2014-6-24 14:50 编辑

终于发出来了。。
望高手们继续补充，从而完全通过tp-link的web升级校检

ZHIZAI100 · 发表于 2014-6-24 12:21

支持楼主，关注中。

ghostja · 发表于 2014-6-24 14:32

也就是说用 E6 C0 46 3D 33 26 26 BF 80 05 6F F9 4D 6C 85 98 替换然后计算上就可以通过WEB升级了？

冷焰心 · 发表于 2014-6-24 14:56

本帖最后由冷焰心于 2014-6-24 14:58 编辑

我的842N V4.0硬改成16M/64M后，编程器刷的原厂固件，总是频繁掉线。所以想换成类似的mw305r v3原厂固件。
升级开始包18000错误（产品不匹配），按照上面的方法修改固件里0x1C-0x1F为08 42 00 04后，升级包18009错误（所升级的版本低于当前版本）。
说明固件校检通过了，但版本号没通过。
是否有大神知道此时还需要改哪里？

hackpascal · 发表于 2014-6-24 15:05

冷焰心发表于 2014-6-24 14:56
我的842N V4.0硬改成16M/64M后，编程器刷的原厂固件，总是频繁掉线。所以想换成类似的mw305r v3原厂固件。
...

我曾经分析过wdr3320 v2的固件校验，发现tp升级出现的错误提示具有欺骗性
wdr3320 v2的固件头比较特别，含有一段RSA数字签名。因此即使修改了硬件型号和MD5校验，RSA签名也会被破坏，此时升级给出的错误提示就是 18009 错误

ghostja · 发表于 2014-6-24 15:20

hackpascal 发表于 2014-6-24 15:05
我曾经分析过wdr3320 v2的固件校验，发现tp升级出现的错误提示具有欺骗性
wdr3320 v2的固件头比较特别， ...

晕。上终极手段了，还带数字签名……。内置公钥去校验的话，基本就没办法了

huaxie1988 · 发表于 2014-7-5 01:52

支持高手继续研究

nov25 · 发表于 2014-7-5 08:30

表示关注一下，目前本人无能为力

huaxie1988 · 发表于 2014-7-5 13:51

将TL-WR842N V4.0_140528固件修改后再MW300R V9上刷提示
错误代码：18008
未被允许的OEM厂家。

huaxie1988 · 发表于 2014-7-5 14:47

新发现
0x25-0x27为固件版本号
0x37为厂家标识，00是tplink，01是水星，02是迅捷
把0x37改成01后
提示

错误代码：18009
您选择的软件版本低于当前使用的软件版本，无法进行升级。

tplink太蛋疼了吧

hackpascal · 发表于 2014-7-5 14:54

huaxie1988 发表于 2014-7-5 14:47
新发现
0x25-0x27为固件版本号
0x37为厂家标识，00是tplink，01是水星，02是迅捷

数字签名或校验被破坏了吧。。

冷焰心 · 发表于 2014-7-5 14:54

放弃搞它了，VxWorks一般都是用在极小的flash上，1~2M，就算破解了，也不能直接刷op。
免不了拆换flash，不如直接编程器刷了。

lxl315 · 发表于 2014-8-21 14:12

ghostja 发表于 2014-6-24 14:32
也就是说用 E6 C0 46 3D 33 26 26 BF 80 05 6F F9 4D 6C 85 98 替换然后计算上就可以通过WEB升级了？

为什么要把md5 替换成CC 96 28 EE 8D FB 21 BB 3D EF 6C B5 9F 77 4C 7C 这个？有什么根据嘛？

@Vortex · 发表于 2014-9-17 19:39

版本号的数值是如何规定的啊，学校好多路由器需要老固件才能支持

账号		自动登录	找回密码
密码			立即注册

关于TP-LINK VxWorks固件头的修改

请不要胡乱输入以及粘贴、复制等方式灌水

点评

点评

点评

点评

点评

欢迎大家光临恩山无线论坛 /1