Модификация файловой системы Ubiquiti Nanostation M2 на примере прошивки версии 5.5.4



Все работы проводились в виртуальной машине (на ней был установлен arch linux).

Цель: добавление произвольного файла в готовую прошивку.
Результат: был успешно добавлен и запущен исполняемый файл

Все работы проводились в виртуальной машине (на ней был установлен arch linux). Файл прошивки XM-v5.5.4.build16501.bin, основная информация о строении прошивки была получена отсюда. Собрать свою прошивку из SDK у меня не получилось. Итак, вот что показывает binwalk

Тут надо отметить, что binwalk немного неправильно показывает смещения заголовков разделов (Ubiquiti partition header). К этим смещениям необходимо добавить 8 байт (4 байта crc32 предыдущей части и 4 байта дополнение 0х00000000). То есть смещение первого partition header’a будет не 260, а 268, соответственно второй parition header расположен по смещению 1232900. Из скриншота видно, что размер файловой системы, в данном случае, составляет 5391801 байт, прибавив к этому размеру смещение ф.с. в файле получим 6624757 (1232956+5391801), однако следующая секция (gzip compressed data) начинается со смещения 6869116. Значит между squashfs и gzip compressed data имеются еще какие-то данные. Как потом оказалось, эти данные важны для построения модифицированной прошивки. Опираясь на ссылку выше, а так же эксперименты были найдены следующие смещения:

1232956-6624757 – squashfs
6624757-6869052 – dead code (область заполненная 0x0 с иногда встречающимися 0xdead 0xc0de)
6869052-6869056 – crc32 2-го partition header’a, squashfs и dead code
6869056-6869060 – 0x00000000
6869060-6869116 – заголовок Exec script
6869116-6896729 – gzip compressed data
6896729-6896733 – “END.” (видимо окончание firmware header)
6896733-6896737 – crc32 сегмента со смещением 0 по смещение 6896729 включительно
6896737-6896741 – 0х00000000.

Для создания полноценной и рабочей прошивки необходимо еще одно число. Как выяснилось расположено оно в partition header.

Читайте также:  Соавтор трояна Gozi покаялся и решил использовать свои навыки на благо общества

Это размер секции. В данном случае он равен размеру squashfs + размер dead code.
Приступим к разбору оригинального файла. Из файла было получено несколько частей:

header  (0-1232900) – часть остается неизменной


partition_header (1232900-1232956) – заголовок для секции squashfs + dead code

fs.img (1232956-6624757) – непосредственно squashfs

dead_code (6624757-6869052) – dead code

gzip_data (6869060-6896729) – gzip данные остаются неизменными

Теперь приступим к распаковке файловой системы

После выполнения  этой команды появился каталог squashfs-root.
Да, для работы со squashfs в arch’e нужно поставить пакет squashfs-tools.

Далее скомпилировал “hello world” под платформу MIPS и скопировал получившийся файл hello в каталог squashfs-root/bin/. Для теста достаточно, можно приступать к сборке прошивки.

Запаковываем обратно файловую систему

Меняем размер секции в partition_header

Новый размер=размер myfs+размер dead_code=5455727+244295=5700022=0x56f9b6

Склеиваем вместе partition_header, myfs и dead_code. Вычисляем crc32 секции и записываем в конец с дополняющими нулями.

Теперь склеиваем header, final_part и gzip_data, так же считаем crc32 и записываем хвостовую часть в итоговую прошивку

Заходим по ssh на устройство и выполняем hello

Как видно, файл успешно отработал в модифицированной прошивке.  А теперь ложка дегтя: судя по всему последние 4 байта в partition_header указывают на максимальный размер секции squasfsh+dead_code, соответственно в данную прошивку мы можем запихнуть не более 1Мб своих данных. Хотя эта информация не проверялась.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

восемнадцать − 11 =

наверх