Распаковка и разборка CPE KuWfi

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Triton_Mgn, 7 Mar 2017.

  1. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,198
    Likes Received:
    3,452
    Reputations:
    40
    CPE830 Yuncore router



      • [​IMG]
        PHP:
        (Роутер)  (Poe 24v 1A)  (Патчкорд)  (Хомут для крепления)  (Инструкция)
      • YunCore CPE830 Ver1\2 Device Info
        • Device Type: WiFi AP Outdoor
        • Brand: YunCore
        • Model: CPE830
        • CPU: Qualcomm Atheros QCA9531 V2
        • CPU MHz: 650
        • Flash MB: 16
        • RAM MB 64
        • Ethernet ports 2 (100M)
        • WLAN 2.4GHz: b/g/n
        • Wifi power 1000mW
        • LED count: 8
        • Button count: 1 (reset)
        • Power Supply: 12 VDC, 1.5 A, PoE 24V
      • Ссылки на реурсы
        • Официальный сайт устройства
        • Openwrt - страница устройства
        • Загрузчик Pepe2k
        • Загрузчик Breed - альтернатива оригинальному
        • Googl disk {freee}
          • uboot
            origin
            uboot.bin - оригинальный загрузчик
            uboot_env.bin - оригинальный загрузчик + env область
            u-boot_mod* - модифицированный загрузчик pepe2k
            breed-qca* - модифицированный загрузчик breed
          • Original Firmware - Оригинальные версии прошивок
          • Foto + instructions
            Recovery - комплект для восстановления через уарт для windows включает putty tftpd64
            UART.txt - инструкция по прошивке через uart
            ++фото платы\устройства, даташит и т.д.
          • Firmware extract bash - скрипт на баш для распаковки\запаковки дампов\прошивок
          • FIRMWARE - прошивки (оригинальный загрузчик)
            Firmware for original boot - Lede\openwrt для оригинального загрузчка
            Original Firmware - оригинальные версии прошивок
            boot_to_breed_pepe2k - Прошивка для смены оригинального загрузчика на модицицырованный
          • Dump (*) - содержит дампы прошивок роутеров (full\ only FS)
          • Config_relay - пример для создания режима повторителя
          • all_fw - прошивки для модифицированных загрузчиков ( Для нескольких устройств включая CPE830 )
            Прошивки содержат пакеты для пентеста, чистые версии можно скачать с офф сайта Openwrt
          • Исходники - для самостоятельной сборки пакетов

          Readme - файс с описаниями*
      • Инструкции
        • Существует две ревизии аппарата, с светло-зеленой платой (первая версия\ревизия) и темно-зеленой (вторая). Так же в новых версиях над портом wan есть переключатель. Имеют различия по МАС и ART области.
          Для первой ревизии подходят все прошивки, для второй - исключительно 2й ревизии. (Для оригинальных прошивок).

          Перед какими либо действиями Рекомендуется сделать BackUp!
          Все материалы и инструкции для прошивки есть на гуглдиске
          • Подключайте uart к выключенному роутеру ( GND --> GND; TX --> RX; RX --> TX то есть накрест и только 3 контакта, + не нужно )
          • Wan port к сетевой карте ПК ( которая настроена в статическом режиме 192.168.0.X (где X число от 2-255) 255.255.255.0 192.168.0.1)
          • Настраивайте tftp сервер на 192.168.0.X ( где X ваше число )
            В папку с программой кидайте прошивку (uboot\env если нужно) для вашего роутрера ( для удобства переименовать fw.bin (uboot.bin\env.bin))
            Убедится что в списке файлов программы виден файл прошивки​
          • Запустить putty
            Тип подключения serial; порт COMn (где n - номер вашего ком порта, смотреть в диспетчере задач)
            Скорость 115200, более ничего не трогаем и нажимаем open, откроется окно терминала​
          • Подключаем питание и быстро останавливаем загрузку, вводя 0 (ноль) в терминале
          • В терминале вводим ( где X ваше число )
            Code:
            setenv ipaddr 192.168.0.1
            setenv serverip 192.168.0.X
            
          • Далее Чтобы инструкция была более универсальной опишу прошивку Загрузчика Файловой системы и область uboot_env
            Не прошивайте все 3 области сразу без очистки ОЗУ или перезагрузки
            • для прошивки загрузчика ввести в терминале (при неудачной прошивке этой части поможет только программатор)
              Code:
              tftp 0x80060000 uboot.bin
              erase 0x9f000000 +$filesize
              cp.b $fileaddr 0x9f000000 $filesize
              
            • для прошивки файловой системы (основная прошивка) ввести в терминале
              Code:
              tftp 0x80060000 fw.bin
              erase 0x9f050000 +$filesize
              cp.b $fileaddr 0x9f050000 $filesize
              
            • для прошивки ENV ввести в терминале
              Code:
              tftp 0x80060000 env.bin
              erase 0x9f040000 +$filesize
              cp.b $fileaddr 0x9f040000 $filesize
              
            • для прошивки Полного дампа ввести в терминале
              Code:
              tftp 0x80060000 full.bin
              erase 0x9f000000 +$filesize
              cp.b $fileaddr 0x9f000000 $filesize
              
          • Перезагрузить роутер командой в терминале
            Code:
            reset
            
          Комплект ПО для восстановления на OS windows есть на google disk freee
        • Разницы как снимать бэкап нет, результат одинаковый
          • Снять бэкап можно программатором, как пользоваться ищите в интернете
            Программатор на CH341A, чтобы не выпаивать чип - рекомендуется преобрести прищепку.
            Если повредили чип памяти: Можно купить новый, стоит копейки. Название: w25q128Bv
            Есть еще w25q128Fv, отличается только типом монтажа на плату, Не подходит для нашего роутера, т.к.:

            Bv - это soic8 (для поверхностного монтажа Наш случай)
            Fv - это PDIP8 (для монтажа в заранее просверленные отверстия удобно если захотите поставить кроватку для быстрого съема )
          • Через ssh
            Немного теории
            Флешка имеет 16мб а точнее: ( 16*1024 ) 16 384 Кбайт или 1 000 000 секторов ( где 10 000 = 64к ) (сектора имеют 16-ричный размер)
            Это разделы на роутере ( просмотреть на роутере командой cat /proc/mtd )
            • Для Openwrt (начина с BB ) и Lede - модифицированного загрузчика
              mtd0: 00040000 00010000 "u-boot" Это загрузчик имеет 40 000 секторов = 64к * 4 = 256к
              mtd1: 00010000 00010000 "u-boot-env" Это область env имеет 10 000 секторов = 64к
              mtd2: 00fa0000 00010000 "firmware" - Kernel+rootfs - файловая система и ядро 16 000к
              mtd3: 00150000 00010000 "kernel" ядро, не перезаписываемая область прошивки
              mtd4: 00e50000 00010000 "rootfs" пользовательская не перезаписываемая область прошивки
              mtd5: 009a0000 00010000 "rootfs_data" - squashfs

              ssh просто вводите команды в терминале:
              Code:
              cat /dev/mtd0 >> /tmp/backup.bin
              cat /dev/mtd1 >> /tmp/backup.bin
              cat /dev/mtd2 >> /tmp/backup.bin
              cat /dev/mtd6 >> /tmp/backup.bin
              
              u-boot + u-boot-env + kernel + rootfs + art Размер прошивки зависит от добавленных пакетов
            • Для оригинальной прошивки - ориг. загрузчика
              mtd2: 00e30000 00010000 "rootfs" - пользовательская не перезаписываемая область прошивки
              mtd3: 00360000 00010000 "rootfs_data" - squashfs
              mtd4: 00170000 00010000 "kernel" - ядро, не перезаписываемая область прошивки
              mtd5: 00010000 00010000 "art" - Это область art имеет 10 000 секторов = 64к
              mtd6: 00fa0000 00010000 "firmware"- Kernel+rootfs - файловая система и ядро 16 000к

              ssh просто вводите команды в терминале:
              Code:
              cat /dev/mtd0 >> /tmp/backup.bin
              cat /dev/mtd1 >> /tmp/backup.bin
              cat /dev/mtd6 >> /tmp/backup.bin
              cat /dev/mtd5 >> /tmp/backup.bin
              
            А далее через tftp сервер скачать файл из директории tmp

            Также можно без фтп, в терминале создаем ссылку к файлу
            Code:
            ln -s /tmp//backup.bin /www/backup.bin
            И забираем наш дамп набрав в строке браузера 192.168.188.253/backup.bin

            После чистим роутер, удаляем ссылку и сам дамп
            Code:
            rm -rf /www/backup.bin
            rm -rf /tmp/backup.bin
            
            !!!! ни в коем случае не создавать backup.bin сразу в директории www, забьете всю память!
          • Через Uart (rs232) если загрузчик не убит, описана в разделе прошивка.
        • Прошивка (firmware) состоит из ядра и файловой системы (kernel + rootfs) и от расположения этих частей зависит размер
          • В оригинальной прошивке и опенврт АА ( и ББ первые ревизии вроде)
            ядро находится после файловой системы, и все свободное пространство между ФС и ядром занимают нули.
            это сделано потому что в загрузчике boot прописан адрес для старта ядра (kernel) по фиксированному адресу c 0x000000e80000 по 0x000000ff0000
            Прошивка начинается с адрес 50000 и заканчивается ff0000 (с 320к по 16мб) и не затрагивает области загрузчика и арт (это важно)
          • В прошивках с ББ и по нынешнее
            ядро находиться до ФС и в загрузчике прописан адрес для старта ядра c 0x000000050 000 по 0x0000001C0000 ( c 320 по 1792к ) далее ФС с 1C0000 до ff0000 (если размер самой ФС меньше, при прошивке автоматом пространство заполняется нулями)
          Но любую прошивку можно собрать с конкретным расположение ядра, я собирал lede (есть на google disk) с загрузчиком после ФС для старых boot которые прошивались поверх старой прошивки без смены boot.
          Разница только в адресах старта ядра, и все.
          Какой то из двух мод загрузчиков позволяет выбирать адрес для старта в своем меню.

          Также можно расположить загрузчик по адресу 40 000 - удалив область boot-env, которая не нужна для модифицированных загрузчиков, там находится информация для старта тфтп вроде (начальный адрес и тд)

          Оригинальный загрузчик поддерживает только оригинальные прошивки и прошивки собранные freee которые находятся на гугл диске в каталоге FIRMWARE
          Модифицированные загрузчики поддерживают Openwrt\Lede и другие прошивки подходящие для роутера.
          Оригинальная прошивка основана на Openwrt AA kernel 3.3.8 - и содержит проприетарный драйвер. Имеет два вида Чистый Openwrt и Официальную прошивку yuncore с китайско - английским интерфейсом.
        • Данный метод не работает на некоторых версиях прошивок и версиях роутера.
          • Делаем бэкап настроек роутера
          • Открываем бэкап архиватором
          • Редактируем файл /etc/shadow Приводим его к виду:
            PHP:
            root:*:0:0:99999:7:::
            daemon:*:0:0:99999:7:::
            ftp:*:0:0:99999:7:::
            network:*:0:0:99999:7:::
            nobody:*:0:0:99999:7:::
            Сохраняем
          • Восстанавливаем настройки нашим новым файлом, после перезагрузки пароль на ssh должен пропасть.
          • Оригинальный загрузчик
            • Загрузчик не имеет вэб оболочки, для восстановления нужно установить тфтп сервер, настроить сетевую карту в статическом режиме
              PHP:
              IP 192.168.0.144
              Маска 255.255.255.0
              Шлюз 192.168.0.141
            • Запустить тфтп сервер (от администратора при использовании ОС windows)
            • Поместить в папку сервера прошивку (при использовании ОС windows и tftp положить файл прошивки в один каталог с программой) и переименовать в upgrade.bin
            • Указать тфтп серверу адрес 192.168.0.141
            • На выключенном роутере зажать reset, включить питание, подождать несколько секунд, отпустить кнопку reset, ждать в течении минуты пока загрузчик подхватит прошивку. Загрузку прошивки увидите в окне тфтп сервера.
            upgrade.bin - специальная версия прошивки
            Способ достаточно сложный, лучше использовать восстановление через uart.
            Комплект ПО для windows есть на google disk
          • Pepe2k
            • Для входа в загрузчик, переведите сетевую карту в статический режим
              PHP:
              IP 192.168.1.2
              Маска 255.255.255.0
              Шлюз 192.168.1.111
            • Зажмите кнопку Reset на выключенном устройстве, включите питание, после того как все светодиоды мигнут 4 раза (Именно ЧЕТЫРЕ раза) резко отпустить кнопку, входить в вэб оболочку загрузчика через браузер по адресу 192.168.1.111
              Вы попадете на страницу прошивки роутера​
            • Для прошивки uboot (загрузчика) допишите в адресной строке браузера uboot.html (192.168.1.111/uboot.html)
            • Для прошивки art (Арт область индивидуальна для каждого устройства, в идеале, она содержит МАС адрес и настройки радио модуля, для начала рекомендуется сделать бэкап области перед ее прошивкой) допишите в адресной строке браузера art.html (192.168.1.111/art.html) Не рекомендуется прошивать данную область.
          • Breed
            • Для входа в загрузчик, переведите сетевую карту в статический режим
              PHP:
              IP 192.168.1.2
              Маска 255.255.255.0
              Шлюз 192.168.1.1
            • Зажмите кнопку Reset на выключенном устройстве, включите питание, после того как все светодиоды мигнут можете отпустить кнопку, входить в вэб оболочку загрузчика через браузер по адресу 192.168.1.1
              Попав в загрузчик вы увидите интуитивно понятный, дружественный китайский интерфейс. Подробнее как пользоваться загрузчиком можно найти в интернете.​


        • Спасибo @freee за шапку
     
    #1 Triton_Mgn, 7 Mar 2017
    Last edited: 19 May 2018
    теща, Dark~Angel, hydra and 11 others like this.
  2. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    2,547
    Likes Received:
    3,173
    Reputations:
    37
    лаконично 0_о

    сравни его из помещения - с одной точки на подоконнике наведись альфой с направленной антенной на ТД в доме напротив, потом этой штукой
    чтоб сразу было по уровням сигнала понятно какая чувствительность у этой штуки

    ну и скорости сравнить бы из одной точки
     
  3. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,198
    Likes Received:
    3,452
    Reputations:
    40
    Это понятно, что я буду тестить со своим оборудованием, разобрать то хоть дай ))
     
    yx-ex likes this.
  4. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,198
    Likes Received:
    3,452
    Reputations:
    40
    Индикаторы сигнала и состояния.

    [​IMG]
     
    yx-ex likes this.
  5. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,198
    Likes Received:
    3,452
    Reputations:
    40
    Вот в разобранном виде, антенна MIMO 2 запитки, из алюминия, все ровно, люминий миллиметровой толщины, гаечки запресованы в рефлектор с идеальной точностью .Радиатор снимать не стал, чтоб посмотреть чип.



    [​IMG]

    [​IMG]

    [​IMG]
     
    Veil, K1fa, DSL2650NRU and 4 others like this.
  6. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,198
    Likes Received:
    3,452
    Reputations:
    40
  7. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    2,547
    Likes Received:
    3,173
    Reputations:
    37
    хоросо (-_-) 11dbi X-pol MIMO без всякого текстолита...квадратные патчи с круглыми директорами вписанными в квадрат патча - вроде как лучшее из всех вариантнов с точки зрения приёма фронта волны

    какие цифры чувствительности dbm и мощности mwt?
     
  8. Kevin Shindel

    Kevin Shindel Banned

    Joined:
    24 May 2015
    Messages:
    961
    Likes Received:
    1,107
    Reputations:
    56
    Вроде ничо так внешне, запиливай спидтест и wavemon
     
  9. farkos

    farkos Member

    Joined:
    28 Sep 2016
    Messages:
    54
    Likes Received:
    87
    Reputations:
    0
    если будет лень размеры снимать может хоть в сканер сунуть максимально ровно, чтоб потом в спринте попробовать обвести с координатной сеткой. пару отправных размеров только, патча одного к примеру
     
  10. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    2,547
    Likes Received:
    3,173
    Reputations:
    37
    токо перед этим сравни его из помещения - с одной точки на подоконнике наведись альфой с направленной антенной на ТД в доме напротив, потом этой штукой
    чтоб сразу было по уровням сигнала понятно какая чувствительность у этой штуки

    ну и скорости сравнить бы из одной точки
     
  11. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,198
    Likes Received:
    3,452
    Reputations:
    40
    Так никто пока не говорил за размеры если надо будет замерю аналоговым штангенциркулем.
     
    Kakoluk, farkos and yx-ex like this.
  12. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    2,547
    Likes Received:
    3,173
    Reputations:
    37
    эта антенна везде есть в чертежах
    lan23.ru глянь
    http://www.lan23.ru/forum/showthread.php?t=12445
     
  13. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,198
    Likes Received:
    3,452
    Reputations:
    40
    Наводится альфой с какой антенной у меня только панель 18, базука-18 и самоделка яги- на хз сколько, но 13-14 наверно есть.
     
    DSL2650NRU and yx-ex like this.
  14. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,198
    Likes Received:
    3,452
    Reputations:
    40
    Тесты будут завтра после 9 вечера по Mgn) после работы, а то я пивас потягиваю и удлинитель до окна занят.
     
    Alexmeh and yx-ex like this.
  15. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    2,547
    Likes Received:
    3,173
    Reputations:
    37
    самоделкой
     
  16. yx-ex

    yx-ex Well-Known Member

    Joined:
    14 May 2011
    Messages:
    753
    Likes Received:
    742
    Reputations:
    10
    Класс,не пришлось свой девайс разбирать,за меня уже расковыряли его)).Тритон-спасибо что позволил заглянуть в кишки прибора!
    Не ну я ожидал чего то подобного внутри-сама цпе такая основательная,тяжелая.Там явно должна была быть антенна не из пищевой фольги,но результат оказался даже лучше)).И качество сборки порадовало,и толщина металла антенны и ее конфигурация.Теперь тем более не жалею что взял именно ее.
     
    Triton_Mgn likes this.
  17. yx-ex

    yx-ex Well-Known Member

    Joined:
    14 May 2011
    Messages:
    753
    Likes Received:
    742
    Reputations:
    10
  18. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    2,547
    Likes Received:
    3,173
    Reputations:
    37
    1xui absolutly
     
  19. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    2,547
    Likes Received:
    3,173
    Reputations:
    37
    с тобой тоже может быть, если листы попортишь ))
     
  20. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,198
    Likes Received:
    3,452
    Reputations:
    40
    Клоунадзе это агрегат непрерывного горячего цинкования, там полоса а не листы - 180 метров/мин, со мной такого не может быть , так как я простой инженережко) .А не начальник цеха, сечешь? почему 700 т.р у них з.п
     
    altblitz likes this.