[閒聊] H3C NX30pro 刷機 MT7981系列
前陣子看上了MT7981,不錯的性能,不太熱的溫度
考慮小米系列360T7 ~= WR30U ~= AX3000T ~= AX3000NE,於是我選了剛上市AX3000T
沒想到小米跟TP一樣韌體封的比較死,雖然現在MTK系的都用魔改的openwrt了,但還是需要依靠一些exploit來打開telnet或ssh
比如說 WR30U,必須依靠他搭配的中國聯通elink IoT的漏洞執行任意程式碼
https://github.com/PatriciaLee3/wr30u_ssh
https://forum.openwrt.org/t/openwrt-support-for-xiaomi-ax3000ne/153769
比如說 XDR6088/6086,要依靠VPN的介面沒有sanitize來執行任意程式碼
https://forum.openwrt.org/t/adding-support-for-tp-link-xdr-6086/140637/17
但這些在AX3000T目前來說都修乾淨了,我也有試過研究幾個exploit
比如set_sys_time
然後log會跟我說hack detected 笑死
於是我又買了H3C的NX30pro
目前7981的平台 NX30pro AX3000T XDR3001表現都不錯
NX30pro這款好在,預設開放telnet Port 99,有curl可以用,於是你去openwrt官網隨便撈一個dropbear的ipk
opkg install後就有ssh/scp可以用了
首先我們需要把mtd通通備份起來,經爬文後,如果你刷了U-boot,再刷回原廠後,如果再升級會變磚
mtd分區如下
[ 0.829730] nmbm nmbm_spim_nand: Signature found at block 1023 [0x07fe0000][ 0.837461] nmbm nmbm_spim_nand: First info table with writecount 0 found
in block 960
[ 0.847548] nmbm nmbm_spim_nand: Second info table with writecount 0 foundin block 963
[ 0.855552] nmbm nmbm_spim_nand: NMBM has been successfully attached
[ 0.862167] 9 fixed-partitions partitions found on MTD device
nmbm_spim_nand
[ 0.869218] Creating 9 MTD partitions on "nmbm_spim_nand":
[ 0.874699] 0x000000000000-0x000000100000 : "BL2"
[ 0.879929] 0x000000100000-0x000000180000 : "u-boot-env"
[ 0.885737] 0x000000180000-0x000000380000 : "Factory"
[ 0.891278] 0x000000380000-0x000000580000 : "FIP"
[ 0.896487] 0x000000580000-0x000004580000 : "ubi"
[ 0.901796] 0x000004580000-0x000004b80000 : "pdt_data"
[ 0.907430] 0x000004b80000-0x000005180000 : "pdt_data_1"
[ 0.913265] 0x000005180000-0x000005280000 : "exp"
[ 0.918446] 0x000005280000-0x000007800000 : "plugin"
dev: size erasesize name
mtd0: 08000000 00020000 "spi0.0"
mtd1: 00100000 00020000 "BL2"
mtd2: 00080000 00020000 "u-boot-env"
mtd3: 00200000 00020000 "Factory"
mtd4: 00200000 00020000 "FIP"
mtd5: 04000000 00020000 "ubi"
mtd6: 00600000 00020000 "pdt_data"
mtd7: 00600000 00020000 "pdt_data_1"
mtd8: 00100000 00020000 "exp"
mtd9: 02580000 00020000 "plugin"
用dd就可以備份了
比如說要備份固件區
dd if=/dev/mtd5 of=/tmp/backup_mtd5.img
第一次備份mtd1-4 6-9,因為mtd5也就是固件區比較大(64MB),下載前備份完的再刪掉清空間
分開備份比較比較好
用winscp把東西通通下載回來
下一步要刷U-boot (意思同刷android的recovery),方便刷機,刷有HTTP介面的
參考這篇
https://blog.qust.me/nx30pro
上傳U-boot之後
mtd write /tmp/uboot.bin FIP
然後電腦接Lan1 按住reset再插電
IP設靜態 192.168.1.2 連上192.168.1.1
選擇NX30pro.bin上傳,這是個immortalwrt的版本。
然後等他自動重開
重開之後用dhcp連192.168.6.1就有了
https://i.imgur.com/KvAO6Wj.png
這裡有幾個我也不太懂得問題,值得放在這裡
1.
因為不是用nor flash了,>= 32MB的flash有高機率是nand,而nand有壞塊的問題
mtk在這裡使用了NMBM管理壞塊,然而傳統openwrt是不支援這個東西的,他的Bootloader載入是純用offset,然且nmbm會影響整個mtd讀到的offset
據說,如果你的壞塊好死不死在前幾個block,刷入U-boot時就有可能變磚
參考這幾篇的說法
https://fast.v2ex.com/t/962550
https://www.right.com.cn/forum/thread-8292288-1-1.html
https://www.right.com.cn/forum/thread-8227879-1-1.html
尤其這篇
https://www.right.com.cn/FORUM/thread-8244730-1-1.html
2.
但是據說,如果不替換BL2(如果你按照openwrt或immortalwrt官方的指示是要刷BL2的)
preloader -> BL2
BL31-Uboot -> FIP(U-boot)
如果你刷的U-boot是本文章中前面blog給的u-boot,那要刷的是NMBM layout enabled 的image,目前已確認用U-boot刷immortalwrt跟x-wrt的帶nmbm的factory.bin是可以刷的
要注意與如果你刷過BL2就別嘗試用nmbm enabled layout
https://www.nonedata.com/posts/H3C-NX30PRO.html#%E5%88%B7%E5%85%A5-openwrt-%E6%88%96%E8%80%85-immortalwrt-%E5%8E%9F%E7%89%88%E7%B3%BB%E7%BB%9F
https://firmware-selector.immortalwrt.org/?version=23.05.0-rc4&target=mediatek%2Ffilogic&id=h3c_magic-nx30-pro-nmbm
https://downloads.x-wrt.com/rom/
具體note:
https://github.com/x-wrt/x-wrt/commit/618fe4cae8a3fcbbe184b603c6ff5ed848d9785d
3.
MT798x是有閉源驅動的樣子(尤其是GL.inet),可能要去思考一下如果你的目的是要高速的wifi而不是像我想玩玩具
那要思考一下要不要刷機
4.
這東西還有大分區小分區的問題
參考前面的mtd block,存固件的mtd5只有64M,我刷完這個隨附的immortal大概剩16M可以給我玩
刷完immortal stock nmbm有41mb,刷完xwrt stock nmbm有36mb可以用
我的目的只有wireguard+zerotier+msdlite+連CHT Wifi或iTaiwan,已經夠了
還可以偶爾玩玩hcxdumptool
如果要全部利用的話,還要刷適合大分區的U-boot,就能完整利用mtd5之後的所有空間
--
※ 編輯: tomsawyer (104.28.223.57 臺灣), 10/14/2023 11:57:49
等之後AX3000T看能否刷機
沒想到現在刷機這麼折騰人,手上幾台MTK7620/7621看來還能
跑OpenWRT好幾年
我也刷了一台Archer A6,懷念那時代的TP,直接上傳固件就行 mt7621 雖然有4核 但是Ramips就很哭
刷機 一直都很折騰,是刀碩特別好刷
而且不容易死
刀碩的博通比較好刷,但是如果是MTK系的好像也不容易,高通IPQ想都別想
跟 bootloader 有關 有些平台號稱刷不死 就容易處理
要玩刷機 拆機搭TTL 是最低要求 但這樣還是有可能出事
有些TTL有外露的 從散熱孔就勾的到 有些排針還幫你插好 最近想入手CH341A了,但這種nand不是SOP-8 spi rom,封裝不好拆,很容易爆炸
推
驅動還是 git01.mediatek.com 這個好,不過要自己搞。
※ 編輯: tomsawyer (104.28.223.50 臺灣), 10/14/2023 18:46:53
對..以前要玩刷機,拆機TTL是基本
有的還要自己焊上針腳
MT7621很好用呀 gbe環境很夠用 2.5g以上就不好用了
抱歉有點職業病,SPI是通訊介面不是硬體封裝XD
我指的是傳統EEPROM那種,應該是SOP-8(?)
看對岸修路由器的也在叫苦~ 現在跟修手機一樣要解焊重焊
以前如果救磚是搭個腳就刷了 現在可能還要管壞塊
NAND用在路由器上大都是SLC 相對比較不容易壞cell
查了一下是用winbond封裝的128MB slc含spi模組 只是是FCBGA封裝 不能用夾的刷
※ 編輯: tomsawyer (1.200.75.69 臺灣), 10/15/2023 12:49:33https://www.acwifi.net/24565.html 看這一篇 應該是8pin的
wson-8的serial nand. 好處理啦 不是FCBGA
喔喔 看錯了,不過還是得解焊,麻煩
※ 編輯: tomsawyer (104.28.223.50 臺灣), 10/15/2023 14:49:5038
[情報] 小米AX3000 NE特價1595 MTK 820這價不錯剛剛去三創逛小米剛好看到 AX3000 NE現在特價1595 實體跟線上都同價格 以MTK Filogic 820+AX3000規格 這價格在台灣真的算蠻不錯了 如果你不是那種死都要在中國買買出優越感覺得不在大陸買就要把人當盤子看的人 只想在台灣簡單下單使用又有保固的人![[情報] 小米AX3000 NE特價1595 MTK 820這價不錯](https://i.imgur.com/pieRN0Bb.jpg "[情報] 小米AX3000 NE特價1595 MTK 820這價不錯")
37
[心得] OnePlus8 T-Mobile刷國際版不負責任教學一樣先說結論,刷完國際版你【可能會有】以下這些優點 (O) 去掉 T-Mobile 超醜動畫/App (O) 第一時間直接收到 OTA,不用等 T-Mobile 更新 (?) VoLTE/VoWifi 遠傳有出現可調整但是我沒申請,亞太有申請但不能用 (?) 5G(我沒遠傳亞太5G,請大家幫忙測試)![[心得] OnePlus8 T-Mobile刷國際版不負責任教學](https://forum.xda-developers.com/data/assets/logo/header-forum.jpeg "[心得] OnePlus8 T-Mobile刷國際版不負責任教學")
23
[心得] 八年老機sony tx吃派老機不死只是凋零 從抽屜翻出了這支上古神獸 上XDA發現居然有9.0可以刷 馬上著手試刷看看 過程出現了各種問題![[心得] 八年老機sony tx吃派](https://i.imgur.com/ff3WdxFb.jpg "[心得] 八年老機sony tx吃派")
14
[問題] 刷openwrt建議機種如標題 新的ax機種多數都不支援 Asus支援性太差 常有小問題 TP link 本來看Archer C50 不過一樣很多毛病 而且還分很多版本![[問題] 刷openwrt建議機種](https://openwrt.org/_media/media/xiaomi/ax3200.png "[問題] 刷openwrt建議機種")
13
[情報] 小米AX3000t MTK 820 好看新設計 現$827小米首款採用Filogic 820 SOC的中國版 非客製化版本的路由器 如果是單以小米來說 國際版的AX3000 NE=中國的電信商客製版NR30U是首款 不是像ax3000 ne一樣用舊模具 是新款的![[情報] 小米AX3000t MTK 820 好看新設計 現$827](https://i.imgur.com/0u2UFR2b.jpg "[情報] 小米AX3000t MTK 820 好看新設計 現$827")
8
[心得] 中國版小米刷eu SafetyNet & Gpay 修正作者為 Xiaomi.eu 上的 Jasper_1999 本人騷擾求救 實測有效後轉來ptt 僅僅代po&排版 ----------------------以下原文---------------------------------------------- 看到群裡面很多人刷了xiaomi.eu的系統之後 Google Pay失去驗證了,我這幾天也出現 了一樣的問題。出現無法認證的根本問題是你手機的safetynet無法通過,最近Google這5
[問題] 小米路由mini變磚該怎做參考小米路由刷機ric0703 下載好的breed文件,重命名為breed.bin,用winscp上傳到/tmp目錄 mtd -r write /tmp/breed.bin Bootloader reset鍵開機,黃燈閃爍後鬆開 --------3
Re: [問題] 可Mesh擴充的Wi-Fi6路由器選擇其實以你的需求要完全符合你的需求,包括OpenWrt應該是空集合 WIFI6的時代,OpenWrt可以刷是可以刷,但是WIFI都是半殘的 因為高通/博通驅動沒開源,唯一的希望在MTK 如果去除掉OpenWrt 你能買的大概就ASUS跟linksys2
Re: [無線] archer ac1750 v2 變磚TP-Link 的機器刷 OpenWRT 後絕對不能直接刷回官方韌體,必磚 有時升級 OpenWRT 時若差異過大(比如原版 OpenWRT 改刷中國那邊的各式魔改版)也會磚 解法有 3 種,各自對應 3 種嚴重級別 1.OpenWRT 內建的 Failsafe Mode 這是最輕微的,通常發生在原版 OpenWRT 改刷魔改版時還勾選保留原設定,或是做了啥其![Re: [無線] archer ac1750 v2 變磚](https://i.imgur.com/IFtZZq1b.jpg "Re: [無線] archer ac1750 v2 變磚")
1
[問題] WIFI 喇叭 電子音各位大大好, 以前我使用USB無線網卡開AP (TP-LINK T2U Plus用Mywifi) 喇叭使用都還算正常,雖然有時候會連不上,還算堪用 但隨著智能家居產品越來越多,這個方法只能連8個,
![[問題] 高凱擘大寬頻為啥也變爛線了](https://i.imgur.com/yIP2tEQb.jpg "[問題] 高凱擘大寬頻為啥也變爛線了")