记一次乐视随身看T50固件telnet的root密码寻找流程

50块买到了一个乐视随身看的库存货，网上查找资料得知可以更新到T50固件，增加samba等功能。
在乐视官方论坛可以找到T50.bin固件。按照官方给定的流程，在电脑用WiFi连接随身看，然后上传bin文件等待更新。等待的时候，无意中用想到用file命令看看这东西里面装了啥…

hp@localhost:/mnt/sda1/T50 $ file T50.bin
T50.bin: u-boot legacy uImage, MIPS OpenWrt Linux-letv, Linux/MIPS, OS Kernel Image (lzma), 7667648 bytes, Fri Jan  6 07:18:33 2017, Load Address: 0x80000000, Entry Point: 0x80000000, Header CRC: 0x512FA85E, Data CRC: 0x4C73ACFF

可以看到，乐视的系统是拿OpenWrt改的，内核应该是加驱动之类的定制过，构架是MIPS，bin里面放了uImage。
这个时候固件已经更新好了，客户端里也能识别到版本是T50。
想到是OpenWrt的系统，先看看服务器开了哪些端口。

hp@localhost:/mnt/sda1/T50 $ nmap 10.10.10.254
Starting Nmap 7.70 ( https://nmap.org ) at 2019-05-21 09:55 CST
Nmap scan report for 10.10.10.254
Host is up (0.0099s latency).
Not shown: 995 closed ports
PORT    STATE SERVICE
23/tcp  open  telnet
53/tcp  open  domain
80/tcp  open  http
139/tcp open  netbios-ssn
445/tcp open  microsoft-dsNmap done: 1 IP address (1 host up) scanned in 7.39 seconds

没有开ssh，但是开了telnet，此外还有DNS，Web，Samba。
试试telnet，确实可以打开，但是不知道用户名和密码。于是对固件包下手。
安装解包工具：

sudo apt-get install binwalk squashfs-tools

解包：

hp@localhost:/mnt/sda1/T50 $ binwalk -e T50.binDECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             uImage header, header size: 64 bytes, header CRC: 0x512FA85E, created: 2017-01-06 07:18:33, image size: 7667648 bytes, Data Address: 0x80000000, Entry Point: 0x80000000, data CRC: 0x4C73ACFF, OS: Linux, CPU: MIPS, image type: OS Kernel Image, compression type: lzma, image name: "MIPS OpenWrt Linux-letv"
64            0x40            LZMA compressed data, properties: 0x6D, dictionary size: 8388608 bytes, uncompressed size: 4376536 bytes
1507328       0x170000        Squashfs filesystem, little endian, version 4.0, compression:xz, size: 6047381 bytes, 715 inodes, blocksize: 262144 bytes, created: 2017-01-06 07:17:46

之后可以在_T50.bin.extracted文件夹下找到解包出的文件，其中_T50.bin.extracted/squashfs-root存放了根文件系统，到_T50.bin.extracted/squashfs-root\etc\下找到passwd和shadow两个文件。内容如下：

hp@localhost:/mnt/sda1/T500/_T50.bin.extracted/squashfs-root/etc $ cat passwd
root:x:0:0:root:/root:/bin/ash
daemon:*:1:1:daemon:/var:/bin/false
ftp:*:55:55:ftp:/home/ftp:/bin/false
network:*:101:101:network:/var:/bin/false
nobody:*:65534:65534:nobody:/var:/bin/false
airdisk:l2xpPLw75h.6.:111:111:airdisk:/tmp/mnt:/bin/flase
letv:l2xpPLw75h.6.:111:111:airdisk:/tmp/mnt:/bin/flase
admin:x:3:3:smbuser:/home/admin:/bin/ash
guest:x:5:5:smbuser:/home/guest:/bin/ash
hp@localhost:/mnt/sda1/T500/_T50.bin.extracted/squashfs-root/etc $ cat shadow
root:$1$xSv4OWAX$/4DX.XGjW1KGYF73gudAR0:17023:0:99999:7:::
daemon:*:0:0:99999:7:::
ftp:*:0:0:99999:7:::
network:*:0:0:99999:7:::
nobody:*:0:0:99999:7:::

所以可以直接上手搞root密码。
把shadow文件拷出来，然后到John the Ripper下载源码，解包，编译

wget https://www.openwall.com/john/k/john-1.9.0.tar.gz
tar zxvf john-1.9.0.tar.gz
cd john-1.9.0/
cd src/
make
make clean linux-x86-any

因为我的系统是32位的，编译时选择了linux-x86-any。可以通过cat /proc/cpuinfo查看cpu支持哪些特性，然后选择最适合于设备的选项。如果是ARM处理器（比如树莓派），可以选择generic。
编译完成后，cd到john-1.9.0/run/中，进行破解

./john ~/T50/shadow
./john --wordlist=~/T50/password.list ~/T50/shadow --fork=4 #指定字典文件~/T50/password.list，fork指定创建4个计算进程以加快速度
./john --incremental ~/T50/shadow --fork=4 #按字符递增（暴力破解）

这里我用了2台机器，一个用字典跑，一个暴力跑。大概跑了4个小时，从字典中找到了随身看的root密码：

./john --show ~/T50/shadow
root:ifconfig:17023:0:99999:7:::1 password hash cracked, 0 left

用telnet登录到随身看服务器（连接到随身看的WiFi了的话，IP为10.10.10.254，或者连接与随身看同样连接的WiFi，那么直接到路由器上查看随身看的IP地址，或者用nmap来检查23端口的开放情况来确认IP地址）。用户名输入root，密码输入ifconfig，即可成功登录。

经过一番查看，可以确认：

乐视随身看处理器是MT7628
RAM为64M，ROM为16M，而32G的存储器被挂载为USB设备。root文件系统基于固件+内存文件系统结构，重启以后配置文件会消失，所以大部分可变的配置文件存放在USB设备中。
Linux内核3.10.14+

系统缺少很多工具，应该是定制的时候被精简掉了，包括opkg。和一般OpenWrt相比也魔改了很多地方，有待摸索。
另外，由于这样登录直接能够获取到root权限，而乐视随身看的USB接口和MicroUSB接口是不能和内部系统通数据的，如果以root权限不慎操作损坏了ROM区根文件系统可能导致无法开机和恢复，而要想重刷系统大概率需要拆机。避免麻烦需注意谨慎操作。
实测迅雷服务Xware能正常运行，从OpenWrt下载站找到Xware1.0.31_mipsel_32_uclibc.zip，将解压完毕后的Xware通过Samba拷贝到随身看的空间，注意存放路径不能有中文，然后telnet登录到终端运行portal，将激活码绑定到迅雷账号即可开始使用。但是TDDOWNLOAD会创建到32G存储器的根目录（/tmp/mnt/USB-disk-1/TDDOWNLOAD），而软件正常访问只能看到（/tmp/mnt/USB-disk-1/public/）。可以通过迅雷远程在创建下载任务时指定存放路径来解决。

自带的Busybox功能非常不全，我自己额外编译了一个，所以大部分功能都能用了（编译的时候使用了静态链接，由于使用了uClibc，所以移除了NFS和RPC的支持。如果不放心请下载OpenwrtSDK自行编译），打包文件的地址待审核完毕后更新在此处。
两个打包文件地址如下：
bin_T50.zip：https://download.csdn.net/download/shsx5543/11197762
busybox_T50.tar：https://download.csdn.net/download/shsx5543/11197768
（不知道为啥CSDN不能设置文件的积分了，上传的文件都被系统设置成了5积分，感觉有点多啊…这个文件有需要的直接找我要吧，不然就自己编译，也不太复杂，就配置环境的时候小问题有点多）
由于基本系统里面甚至没有tar，所以额外编译了tar等几个包，先将这些文件解压到USB中，然后将解压的路径添加到PATH中，这样才能使用tar命令。由于USB设备文件格式为FAT32，不支持链接文件，所以解压的时候需将busybox放在根文件系统中的路径，比如/opt，然后再将相应的路径一一添加到PATH中。
使用例：共有2个压缩包，首先解压bin_T50.zip得到bin文件夹，通过samba在T50中建立files文件夹，将bin文件夹和busybox_T50.tar拷贝到files文件夹里。之后telnet 10.10.10.254（或局域网IP）登录到T50（root用户密码已在前面提到）。

telnet 10.10.10.254
cd /tmp/mnt/USB-disk-1/public/files/
export PATH=$PATH:$(pwd)/bin #添加tar等命令
mkdir /opt #建立opt文件夹存放busybox文件
cp busybox_T50.tar /opt/ #把busybox包拷贝到/opt
cd /opt
tar xvf busybox_T50.tar #解压缩
cd busybox_mipsel/
export PATH=$PATH:$(pwd)/bin:$(pwd)/sbin:$(pwd)/usr/bin:$(pwd)/usr/sbin

由于每次重启设备都会复位根文件系统，以上命令可制作为.sh以方便操作。
添加busybox以后，fdisk、mkfs之类的都能用了。我把USB磁盘自己分成了2个区，第1个区还是FAT32，第2个区做成了swap，这样同时跑Xware和Aria等等就不容易崩溃了。另外，乐视编译的OpenWRT不支持ext2，因为没有乐视的源码，不好重新编译内核，我想着有没有适合的kmod来解决这个问题。

文章原创，搬运转载请注明原始地址。

打包编写了脚本包，包含busybox和opkg，以及我dump的固件包，地址s/18xE3LI03mV22N_Vm9JZRbA ，密码jzb6 ，内含说明。有bug希望反馈。
建议使用opkg前自行用fdisk对USB进行分区，然后启用swap，否则所有opkg安装的文件会保存在tmpfs，容易将内存占满。

记一次乐视随身看T50固件telnet的root密码寻找流程相关推荐

乐视随身看固件升级、降级，无法连接wifi救砖
乐视随身看,一次偶然升级,wifi显示"lehe",没有尾标,也没有法连接,几年了,今天又翻了出来,几经波折,弄好了,分享给大家. 具体步骤为:1,拆机:2,焊线:3.接rj45网 ...
我在乐视9年，亲眼看贾跃亭一步步走向失控
贾跃亭在乐视2012年的一次内部会议上,受访者供图.来源:21Tech 转载自21早新闻(id:News-21),21早新闻是21世纪传媒社交媒体矩阵公众号成员之一. 来源:21Tech(News-2 ...
乐视屏霸android版本,乐视屏霸安装第三方应用看电视直播、点播教程
原标题:乐视屏霸安装第三方应用看电视直播.点播教程准备工作:乐视屏霸.U盘.电脑一.首先打开乐视屏霸的应用主页,选择设置-系统设置-通用-安全,将[未知来源的应用]开启: 二.从电脑上下载好当贝市 ...
从乐视手机发布会看国产机市场的“吃苹果”营销
从乐视手机发布会看国产机市场的"吃苹果"营销近年来,国产手机发布会似乎都流行这么一个怪象--"吃苹果"营销,当然此"苹果"并非寻常水果,究 ...
疫情期间，Java菜鸟“面霸”养成记！（中兴+腾讯+乐视+京东.....）
多次被虐,希望可以帮助到有需要的人,还有就是大家共勉共进步,坚持下去温馨提示:笔试答得好真的很重要,首先会给面试官一个好的印象. 中兴初试: 1.自我介绍 2.介绍项目亮点 3.对面向对象的认识 4 ...
柔宇冲刺科创板IPO：3年营收5亿净亏31亿，乐视掘墓人刘姝威坐镇董事会
杨净发自凹非寺量子位报道 | 公众号 QbitAI 这可能是乐视后,市场反馈最为两极分化的一家公司. 柔宇科技,由清华电子系校友.斯坦福博士刘自鸿创办于2012年,主打"柔性显示技术 ...
位居新品第一、单品第二，乐视1s吊打了谁的耳光？
在中国互联网领域里,乐视一直是一家充斥着双面声音的公司. 在视频网站战乱和纷争的年代里,乐视以前瞻性的眼光在版权资源等方面进行了早期积累,使得乐视得以成为视频领域竞争的胜利者之一.之后乐视跨界到超级 ...
2018届android校招面试总结：百度，大疆，乐视，知乎
写在前面四月面临了人生第一次比较重大的变化:现在的公司因为融资不利,收回了我的正式offer.很伤-这差不多一个月的时候,开始了自己的面试之旅.有导师/朋友给内推的,也有自投的-. 面试记录我是一 ...
分析优酷/土豆/pptv/乐视 HTML5、m3u8地址
分析优酷/土豆/pptv/乐视 HTML5.m3u8地址分类: Android 2013-11-08 14:22 6654人阅读评论(0) 收藏举报优酷乐视土豆移动平台视频流目录(?)[+] ...

记一次乐视随身看T50固件telnet的root密码寻找流程

记一次乐视随身看T50固件telnet的root密码寻找流程相关推荐

最新文章

热门文章