Bon .... J'y suis presque

Rappel: macchiatobin single shot + G-010S-P en firmware d'origine stock (bien vieux).

ONU détecté par la macchiatobin en 2.5: OK (kernel maison 5.15)
Ping / SSH sur le 192.168.1.10: OK
Modification de udhcpc (Busybox) afin d'envoyer les messages avec la COS priority 6: OK (+vérif en tcpdump) (openwrt compil maison 21.02)

Par contre... chose inexplicable... :
ONU dans mon switch Ubiquiti:
errorcode=0 curr_state=5 previous_state=4 elapsed_msec=4294721672
ONY dans la macchiatobin:
errorcode=0 curr_state=1 previous_state=0 elapsed_msec=4294716076
Quelqu'un a une idée ? Un problème d'alim pas assez puissante ? Courant parasité ?

Je me suis rendu compte que personne n’avait pas encore fait un tuto de comment modifier un firmware directement à partir d’une extraction de la mémoire. Pour les ONU avec accès root natif, ça a peu d’intérêt parce que de toute façon a une shell avec tous les droits. Mais il arrive souvent de ne pas avoir accès root ou même telnet/ssh. Et c’est pour ces cas que ce tuto peut être utile.
Une autre raison est celle de maîtriser et comprendre ce qu’on fait quand on installe un firmware ‘rooté’ par quelqu’un d’autre. Les motivations sont diverses : ne faire que confiance à soit même, comprendre ce qu’on fait, se former, …


Préalables:
Installer binwalk
Installer squashfs-tools (pour les distros basées sur Arch. Je ne suis pas certain pour les distros Debian mais je pense que c'est pareil...)
Il faut bien évidement récupérer les images/firmwares que l'on souhaite modifier. Sur un ONU avec accès root c'est très facile mais ça se complique pour un MA5671A, par exemple. Si on a déjà l'accès root, ce tutoriel perd son intérêt... Il faut donc un bootloader débloqué et un accès en port de série pour extraire les firmwares vierges. Ou alors faire confiance à quelqu'un pour le faire à notre place

On utilise un outil très pratique, binwalk. Il permet d'analyser la structure d'un fichier binaire et il cherche automatiquement des partitions connues. On peut également l'utiliser pour extraire ces partitions.

[andrep@plaptop V8R017C00S200]$ binwalk V8R017C00S200_mtd5_stock.img

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             uImage header, header size: 64 bytes, header CRC: 0xF58607E9, created: 2016-08-11 18:11:26, image size: 1207781 bytes, Data Address: 0x80002000, Entry Point: 0x80002000, data CRC: 0x6381A0A3, OS: Linux, CPU: MIPS, image type: OS Kernel Image, compression type: lzma, image name: "SFP_7.5.3"
64            0x40            LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 3510372 bytes
1207845       0x126E25        Squashfs filesystem, little endian, version 4.0, compression:xz, size: 2148294 bytes, 888 inodes, blocksize: 262144 bytes, created: 2016-08-11 18:11:28
3407872       0x340000        JFFS2 filesystem, big endian

On voit le bloc de mémoire qui nous intéresse, en squashFS (compression xz et un blocksize de 262144 bytes)

On doit ensuite isoler ce bloc de mémoire afin de l'extraire et le modifier.
Pour le faire il y a plusieurs solutions. J'utilise dd de façon très basique, je suis loin d'être un linux god! Mes excuses aux maîtres qui vont trouver que je suis bête et que je pouvais faire le même avec une seule commande

[root@plaptop WORK]# dd if=V8R017C00S200_mtd5_stock.img bs=1 skip=0 count=1207845 of=0_header.bin
1207845+0 records in
1207845+0 records out
1207845 bytes (1,2 MB, 1,2 MiB) copied, 2,21821 s, 545 kB/s
Explications:
if=V8R017C00S200_mtd5_stock.img -> fichier d'entrée
bs=1 -> on utilise un bloc size de 1 byte, l'unité la plus petite possible
skip=0 -> dd commence à lire à partir de la position '0', soit le début du fichier
count=1207845 -> dd va effectuer l'opération sur 1207845 bytes, soit jusqu'au début du bloc avec le squashFS
of=0_header.bin -> fichier de sortie

On va recompresser le système de fichiers en utilisation mksquashfs. Les paramètres à utiliser sont ceux lus avec binwalk au début de ce tuto (blocksize et compression)
[root@plaptop WORK]# mksquashfs _1_squashfs.bin.extracted/squashfs-root/ 1_squashfs-root.bin -all-root -b 262144 -comp xz
Parallel mksquashfs: Using 8 processors
Creating 4.0 filesystem on 1_squashfs-root.bin, block size 262144.
[=============================================================================================================================================================================================================================|] 589/589 100%

Exportable Squashfs 4.0 filesystem, xz compressed, data block size 262144
compressed data, compressed metadata, compressed fragments,
compressed xattrs, compressed ids
duplicates are removed
Filesystem size 2113.21 Kbytes (2.06 Mbytes)
29.65% of uncompressed filesystem size (7126.96 Kbytes)
Inode table size 7124 bytes (6.96 Kbytes)
23.95% of uncompressed inode table size (29743 bytes)
Directory table size 8366 bytes (8.17 Kbytes)
48.87% of uncompressed directory table size (17120 bytes)
Number of duplicate files found 7
Number of inodes 888
Number of files 583
Number of fragments 17
Number of symbolic links 200
Number of device nodes 1
Number of fifo nodes 0
Number of socket nodes 0
Number of directories 104
Number of ids (unique uids + gids) 1
Number of uids 1
root (0)
Number of gids 1
root (0)    

On constate que le nouveau binaire est plus petit que l'original. Il faut impérativement ajouter des 'FF FF ...' à la fin pour avoir un fichier ayant la même taille.
La différence de taille entre les 2 fichiers est de 33243 bytes.
On va utiliser dd avec un pipe pour transformer autant de '0' en 'FF'

[root@plaptop WORK]# ls -la 1_squashfs*
-rw-r--r-- 1 root root 2200027 27 nov.  19:28 1_squashfs.bin
-rw-r--r-- 1 root root 27 nov.  20:08 1_squashfs-root.bin

[root@plaptop WORK]# dd if=/dev/zero bs=1 count=33243 | tr "\000" "\377" > padding.bin
33243+0 records in
33243+0 records out
33243 bytes (33 kB, 32 KiB) copied, 0,0463317 s, 717 kB/s

Et, pour finir, on concatène tout (l'ordre est importante):

[root@plaptop WORK]# cat 0_header.bin 1_squashfs-root.bin padding.bin 2_tail.bin > V8R017C00S200_mtd5_root.img
Et on vérifie que le firmware ancien a la même taille que le nouveau :
[root@plaptop WORK]# ls -la V8R017C00S200_mtd5_*
-rw-r--r-- 1 root root 8388608 27 nov.  20:14 V8R017C00S200_mtd5_root.img
-rw-r--r-- 1 root root 8388608 27 nov.  19:21 V8R017C00S200_mtd5_stock.img

Il ne reste qu’à flasher notre nouveau firmware cuisiné à la maison. Il est prudent d’avoir une interface UART-TTL de secours parce qu’il est très facile de faire quelque chose qui pourra soft-brick l’ONU. Surtout lors des premiers essais… Il est aussi intéréssant de s’assurer au préalable du flash que l’autre partition contient une image valide et fonctionnelle. De cette façon il suffira de se connecter en port de série et de modifier le ‘committed_image’ pour retrouver un ONU fonctionnel. Ce qui est beaucoup plus rapide que de flasher une image en série via KERMIT.

Maitre proap, Merci pour le tuto !
Maitre Gnubyte, il faudrait rajouter un lien en première page ! Et ajouter benj06 dans la liste des succès !

a tout hasard, est-ce qu'un ER 12 à 189€ actuellement, pourrait remplacer le CCR2004 ?
https://www.wifi-france.com/ubiquiti/edgerouter-12-ports
je me réponds à moi meme: c'est des SFP gigabit   

Et puis le jour où on goûte à RouterOS, on ne revient plus à Ubiquiti, et à son SDN pownd.

si vous voulez économiser des sous, achetez un RB4011 ou 5009 à la place du CCR2004, pas besoin de 12 ports 10G si vous avez déjà un switch, suffit de faire du router-on-stick avec des VLAN

Ha tiens c'est pas con ça j'avais jamais pensé à l'idée.

Enfin avec le 5009 il n'y a pas besoin, il a un port 2.5G...