[路由器改造] 【UniFi】Bullte 2M变身UAP实操.doc

Bullte 2M变身UAP实操一、准备工作：1.下载WinSCP工具包，用于从linux与Windows之间交换文件；当然为了保险起见，要将airOS中设备加密模块备份到本地PC，以便在将来变砖的时候还能恢复。WinSCP在附件WinSCP.part01.rar(3.9 MB, 下载次数: 0)WinSCP.part02.rar(3.71 MB, 下载次数: 0, 售价: 1 元金币). f; n1 t9 v8 z* l 2 u& D- ! r不要问我什么是SCP？就是加密拷贝协议，因为linux系统文件形式与Windows管理不同，需要提取linux（airOS）下的文档，只有通过FTP或者TFTP，而airOS只支持加密的拷贝协议。如果使用windows自带的telnet，请在airOS中开启允许telnet登录选项。2.使用一种你自认为习惯的linux终端登录模式，可以是windows自带的DOS命令行下的telnet命令，也可以是超级终端，也可以是其它SSH调试终端，也可以下载第三方TTY工具，如PuTTY等；总之，你要能登录到airOS的命令行模式，对airOS进行调试。3.下载一个airOS 5版本以上的SDK固件，因为只有SDK版本的固件才允许自由修改设备的flash。随便找一个airOS 5 SDK固件的下载地址：6 D* u; H+ ; k; K; QXM.v5.5.sdk.bin在附件XM.v5.5.sdk.part1.rar(3.9 MB, 下载次数: 9)XM.v5.5.sdk.part2.rar(1.81 MB, 下载次数: 15, 售价: 1 元金币)7 K% N9 Z. W- w5 i! C3 W3 Q下载到本地备用。4.需要下载一个修改二进制（BIN、HEX）文件的编辑工具软件，如大家熟悉的UltraEdit32。5.严重警告：确认你的Bullet M2是早期的产品，因为最新版本的产品（2012年12月以后）使用了新的加密方式，如果看到ubnt加密保护盾牌，先不要按以下方法升级，否则很有可能变砖。（新版本的产品需要更多的技术处理）二、升级到SDK固件1.登录到airOS，并进入“系统”菜单（system），选择升级。airOS固件升级（Firmware Update）提供了一个基于WEB界面的升级途径，可以显示当前固件的版本号（FirmwareVersion），编译序列号（Build Number）等参数，提供固件上传（Upload Firmware）、固件版本检查校验（Checkfor Updates）等功能。需要注意的是通过WEB升级时，不是同一产品系列的固件不能通用，可能不能通过校验检查，而且超过V5.5版本后的airOS固件只允许向上升级而不能向下升级。升级固件有一定的危险性，升级失败可能导致设备完全失效。在升级过程中，不能出现任何断电的情况，否则会造成升级失败。升级过程需要数分钟来进行FLASH ROM加载与更新。升级到SDK版本时属于更换airOS兼容类型，会有提示警告，不用理会，继续进行。2.升级完成后在airOS菜单中可以看到airOS版本已经显示为5.5.x SDK，表示成功。可以继续进行下一步。. R4 w6 l, I6 * R: $ B a三、备份产品加密信息块1.升级背景及原理airOS定义系统的物理参数配置在mtd5(mtdblock5)区域，包括产品的类型（SubsystemID）、MAC地址、RF射频芯片配置、RAM容量等，当然还有加密与校验信息。我们变身UAP就是要改变SubsystemID就可以欺骗airOS了。当然其他的射频范围和功率等实际参数不会发生绝对的变化，因此不用担心无法正常工作的情况，因为SubsystmID信息不在加密校验范围之内，因此不要担心变砖。但是不能修改无线的MAC地址，因为这个信息需要CRC校验。改变SubsystemID后Bullte M2就可以冒充孪生妹妹PicoStationM2了。当然Nanostation M2弟弟是否能冒充妹妹，还需要各位自己去做“变性”探索。理论上一切皆有可能。注：NS2M是双极化的，似乎冒充单极化的没什么影响。2.基本的Linux常识与windows不同，任何Linux可以操作资源都会被视为一个“文件”对象，打开任何资源都视为打开文件。当然拷贝也一样。为了安全起见，Linux下的Flash Rom的内容是不能直接拷贝的，而需要通过一个间接的文件句柄（mtd）先拷贝为一个临时文件，再通过SCP将这个临时文件提取进行修改，将修改后的文件再通过一个间接的文件句柄写入。几条基本的linux命令是必须会的，CD改变子目录（与DOS相似），ls显示当前子目录下的文件列表。dd硬拷贝文件，save保存修改，reboot重新启动系统。这些就不再普及了，如果你不具备最基本的Linux基础，建议先补课再继续进行后续内容。3.备份加密信息(1)telnet到airOS：看到以下提示：输入用户名和密码（ubnt/ubnt）Bullet M2 login: ubntPassword:BusyBox v1.11.2 (2012-01-23 17:52:06 EEST) built-in shell (ash)Enter help for a list of built-in commands.- H9 I5 h1 Q/ S; # F9 xXM.v5.5.3 SDK#(2)输入以下命令（这个是重点）：XM.v5.5.3 SDK# cd /tmpXM.v5.5.3 SDK# dd if=/dev/mtdblock5 of=/tmp/back.bin128+0 records in128+0 records outXM.v5.5.3SDK# lsback.bin dhcpd.leasessystem.cfgboot.txt running.cfg ubntconf.logXM.v5.5.3 SDK#如果能看到那个back.bin就表示硬拷贝成功。可以用SCP再备份到Windows。4.启动安装好的WinScp，登录到airOS，注意选择文件传输协议为SCP5.转换目录到tmp，应该可以到一个back.bin文档，那就是你需要备份的加密文件。在左边导航栏选择一个需要备份的目标子目录，然后选择back.bin，按F5下载到PC。备份完成，应该是一个大小为64KB的BIN文档。/ R/ A# K2 J; 2 R# j! 0 c2 R& d四、修改加密信息文件用UltraEdit32打开刚才下载的备份bin文档，最好在修改前再备份一份，以防万一。提示是否转成DOS格式，选择否；再将编辑界面设置为HEX(切换到16进制)格式：找到地址1016对应的那个位置，看到那个E2 02没有，那个就是Bullet M2的SubsystemID，将其修改为E3 02即可。保存退出。关于UBNT产品SubsystemID，可以参考我手上只有这些产品的ID 了，有些比较陈旧，可能新产品已经用了新代号了。可以在参数备份中看到，希望手上有设备的网友补充。产品型号 SubSystem IDNano Station 2 M 0xe002/0xe012Rocket M2 0xe102/0xe112Bullet M2 0xe202. z7 D7 t7 H5 z- 1 zAirGrid M2 0xe212, B2 QG( s6 R$ q% R: HPico Station 2M 0xe3024 w) K; A, P4 H3 ?8 T; a2 ?Power_AP_N 0xe402: ( ! 9 V- ) pUAP2 LR 0xe512Nanostation Loco M5 0xe8a5( ?5 0 J$ |$ ac F2 G( g4 nNanostation Loco M2 0xe2a2& |2 u6 W4 X4 S0 0 J E T( E! d$ $ Q8 g/ |7 t9 r( A/ z! u# Y五、将修改后的加密文件重新上传到airOS当然还是需要使用WinScp工具软件咯。在左边文件导航栏选中修改后的back.bin，按F5上传到airOS的tmp子目录，提示是否替换，选择是。可以看到back.bin的文档创建日期为最新的日期，大小依然是64KB。六、完成最后的Flash ROM写入 与备份的过程正好逆序，以下重点：1.回到telnet TTY终端界面，输入以下命令行：XM.v5.5.3 SDK#dd if=/tmp/back.bin of=/dev/mtd5128+0 records in128+0 recordsoutXM.v5.5.3 SDK#dd if=/tmp/back.bin of=/dev/mtdblock5128+0 records in128+0 recordsoutXM.v5.5.3 SDK #syncXM.v5.5.3 SDK #saveFound Backup1on1 .FoundActive on2 .StoringActive1 . %100Active-Backup2. %100XM.v5.5.6#reboot输入reboot命令后系统重启，再次登录到airOS的web界面，可以看到，Logo变成PicoStation M2，祝贺你，变身第一部成功了，后面由PicoStation变身UAP的过程参考。: k% F1 S( t: E7 , X1 N点击右上角的SYSTEM选项，进入系统菜单下。4 n4 c# G SF; U* o0 U- P* e; h2 w7 点击此处的选择文件，选择airos2unifi.bin 文件。 文件见附件airos2unifi.part1.rar(3.9 MB, 下载次数: 11)airos2unifi.part2.rar(1.06 MB, 下载次数: 28, 售价: 1 元金币)2 yF9 C# Y& K1 V: j7 h% ! y, H- w9 ; v7 Q% w4 K& I3 - A/ r$ d0 - h u7 |$ H5 R选择好固件点击上传0 X3 ( 6 W( i! v! * 6 L& q4 j& AO5 & H2 N W然后开始上传期间请稍等8 f; S# q1 h5 M1 m6 P, u等待文件上传完毕后请点击Update按钮6 Z. r6 l/ Q5 m# % D3 w* u, T5 b& j, g: v7 d- t待设备升级成功后，安装UniFi 控制软件打开自带的UniFi-Discov