小米路由器官方提供的固件是自定义格式,而且刷机时要验证RSA签名,因此只刷自制固件几乎不可能。
通过对固件工具mkxqimage的分析,基本弄清楚了固件打包和解包的流程,如果采用自己的RSA私钥打包固件,然后用自己的RSA公钥替换/usr/share/xiaoqiang/public.pem,那么就能实现通过Web界面刷自制固件。
固件解包
固件工具mkxqimage完成对固件的解包,在解包前先检查Checksum是否正确,然后利用RSA公钥/usr/share/xiaoqiang/public.pem检查RSA签名,这两个步骤通过后,根据[0x0C]的固件类型,以及[0x10]、[0x14]、[0x18]和[0x1C]的4个偏移量拆分固件。固件中可能包含的内容有:
brcm4709_fac_update_nor.bin
brcm4709_nor.bin
fac_mode.bin
nvram_fac.bin
ramfsz
root.ext4.lzma
root.squashfs
upsetting.sh
upsetting_fac1.sh
upsetting_fac2.sh
upsetting_fac3.sh
vmlinuz.trx
固件格式和解包命令详见:小米路由器固件分析
固件打包
首先要创建一对RSA私钥和公钥,为了以后大家能共享自制固件,建议采用这里提供的密钥文件:private.pem public.pem
下面以稳定版0.4.85为例,介绍固件修改和打包方法。
固件解包
cd /userdisk/data
mkdir xqimage
cd xqimage
wget -O mkxqimage.tgz http://www.iptvfans.cn/miwifi/mkxqimage.tgz
tar xzf mkxqimage.tgz
wget -O brcm4709_hdr_039ef_0.4.85.bin http://bigota.miwifi.com/xiaoqiang/rom/brcm4709_hdr_039ef_0.4.85.bin
./mkxqimage -x brcm4709_hdr_039ef_0.4.85.bin
得到2个文件:
-rw-r--r-- 1 root root 16646144 May 30 08:14 brcm4709_nor.bin
-rw-r--r-- 1 root root 34853955 May 30 08:14 root.ext4.lzma
前者是FLASH全镜像,这个文件成分比较复杂,目前不建议修改它。
后者是硬盘固件镜像,先用unlzma解压,得到root.ext4
unlzma root.ext4.lzma
固件修改
用mount命令加载
mount -o loop -t ext4 root.ext4 /mnt
接下来先把RSA公钥替换掉,然后开SSH
cd /mnt/usr/share/xiaoqiang
mv public.pem public.pem.orig
cp /userdisk/data/xqimage/public.pem public.pem.new
ln -s public.pem.new public.pem
sed -i 's/ssh_en=0/ssh_en=1/g' xiaoqiang-defaults.txt
把一些关掉的Web界面恢复
cd /mnt/usr/lib/lua/luci/controller/web
sed -i 's/--entry/entry/g' index.lua
如果需要,还可以对固件进行修改,这里就不再多说。
将上面的修改保存回硬盘固件镜像文件中:
cd /userdisk/data/xqimage
umount /mnt
sleep 30
# 一定要等待一会儿后再压缩镜像
固件打包
将修改后的硬盘镜像压缩:
./lzma e -a0 root.ext4 root.ext4.lzma
./mkxqimage -o brcm4709_hdr_00000_0.4.85.bin -p ./private.pem -t 5 -f brcm4709_nor.bin -f root.ext4.lzma
以上过程的命令已存储在一个脚本文件中,可直接下载:rom_modify.sh
升级准备
公钥替换
在升级上一步生成的自制固件前,还需要对当前路由器的RSA公钥进行替换,具体方法如下:
mount -o rw,remount /
cd /usr/share/xiaoqiang
mv public.pem public.pem.orig
cp /userdisk/data/xqimage/public.pem public.pem.new
ln -s public.pem.new public.pem
mount -o ro,remount /
也可以直接下载脚本文件:rsa_key.sh
自制固件测试
用下面的命令测试:
cd /userdisk/data/xqimage
mkdir test
cd test
mkxqimage -x ../brcm4709_hdr_00000_0.4.85.bin
ls -l
如果解压固件过程中没有出现错误信息,最后列表出2个文件,说明自制固件打包没问题。
-rw-r--r-- 1 root root 16646144 Jun 1 12:00 brcm4709_nor.bin
-rw-r--r-- 1 root root 33188560 Jun 1 12:00 root.ext4.lzma
注意:brcm4709_nor.bin文件的大小一定是16646144。
验证root.ext4.lzma是否正确:
cd /userdisk/data/xqimage/test
unlzma root.ext4.lzma
mount -o loop -t ext4 root.ext4 /mnt
ls -l /mnt/usr/share/xiaoqiang/public.pem*
grep ssh_en /mnt/usr/share/xiaoqiang/xiaoqiang-defaults.txt
umount /mnt
上面命令执行完毕后,应该能看到一些信息(时间信息会有差别):
lrwxrwxrwx 1 root root 14 Jun 1 11:30 /mnt/usr/share/xiaoqiang/public.pem -> public.pem.new
-rw-r--r-- 1 root root 451 Jun 1 11:30 /mnt/usr/share/xiaoqiang/public.pem.new
-rwxr-xr-x 1 root root 451 May 27 11:33 /mnt/usr/share/xiaoqiang/public.pem.orig
ssh_en=1
备份自制固件
在计算机资源管理器中输入: \\192.168.31.1\XiaoMi\xqimage ,目录列表中能看到brcm4709_hdr_00000_0.4.85,将该自制固件复制到计算机上。
升级自制固件
登录小米路由器管理页面,在“路由设置”-“高级功能”-“路由器手动升级”界面中选中brcm4709_hdr_00000_0.4.85,点“上传并安装固件”按钮,等待数分钟。
安装完固件后,SSH有可能没有启动,这是因为升级固件时将nvram项ssh_en清为0,而第一次启动时通过defaults设置将ssh_en设置为1的动作在dropbear启动之后。只需要重启一下路由器,就能够SSH登录了。
特别提醒
由于替换了路由器中的RSA公钥,路由器不能升级官方固件,如果想恢复成官方固件,只需换回原来的公钥,方法如下:
mount -o rw,remount /
cd /usr/share/xiaoqiang
cp public.pem.orig public.pem
mount -o ro,remount /
763
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
