Por dentro do modem roteador WiFi ZTE ZXV10 W300S

Não confunda o W300S com o W300. Este último em alguns mercados parece idêntico mas tem 4 portas LAN em vez de uma. O W300 brasileiro é bem diferente.
zte_zxv10_w300s_ryan.com.br

ZTE_ZXV10_W300S_board_DSC01491_700_ryan.com.br

Escrito na placa: AZR82 V1.0

Componentes principais

  • Winbond W9864G6JH – SDRAM 4M x 16bits (8MB)
  • Trendchip TC3162UE – CPU
  • Trendchip TC3086ADSL2/2+ analogue front-end
  • Ralink RT3390L – WiFi 802.11n
  • Winbond 25Q16VBS – Memória flash SPI de 2MB
  • AX6613 – Regulador Linear de 1A, low dropout
  • UTC MC34063 – 1.5 A, Step-Up/Down/Inverting Switching Regulators
  • MP1482DS – Conversor DC-DC

 

ZTE_ZXV10_W300S_board_DSC01489_detalhe_antena_ryan.com.br

Detalhe da antena

ZTE_ZXV10_W300S_board_DSC01488_320_ryan.com.br

No fundo da placa ficam apenas os LEDs

A porta serial

ZTE_ZXV10_W300S_board_serialport_DSC01492_ryan.com.br

Parâmetros: 115200, 8N1

Bootlog:

O bootlog desse modem é o menor que já vi.

Note que lá no início você tem a oportunidade de pressionar qualquer tecla para entrar no “debug mode”.  Mas chutando eu não consegui descobrir nenhum comando. Mais sobre isso adiante.

Mais adiante veja que o firmware diz qual o nome de administrador:

TMAR#ZTV5.5.0a

No fim ele pede para pressionar ENTER quando então é pedida uma senha, que é a senha do administrador configurada no modem. Após digitar a senha os seguintes comandos ficam disponíveis:

Pelas mensagens do boot pude apurar que o TP-Link TD-W8961NB e o TP-Link TD-8901N usam firmwares parecidos. E graças a isso pude descobrir que o comando para obter o help do debug mode é “ATHE”. Aqui está a lista completa fornecida pelo modem:

Quando você tem a senha do “GOD Mode” tem acesso a mais comandos. A senha, que é baseada no endereço MAC do seu modem, pode ser obtida usando o ATEN Password Generation Script do hacker PiotrBania. A lista de comandos estendida é esta:

Mesmo sem estar no “GOD Mode” é possível usar o protocolo XMODEM (uma gambiarra útil que existe desde 1977), disponível em programas como o Teraterm, para transferir arquivos entre a memória do modem e o PC usando apenas a porta serial.

Para fazer o dump do conteúdo inteiro da flash use o comando: ATDO bfc00000, 200000

Note que os dois números acima são hexadecimais. ‘200000’ (200KB em decimal) corresponde a 2MB em hexa.

O endereço inicial bfc00000 depende do modem e é obtido lá no bootlog, na linha que diz:

Leva cerca de 3min30s para fazer o download de 2MB por esse processo. Se você não está familiarizado com XMODEM, tenha em mente que após iniciar o download no modem você tem que dizer ao programa que você está usando que quer receber um arquivo. No Teraterm isso fica em File -> Transfer ->XMODEM -> Receive.

teraterm_xmodem_receive_ryan.com.br

Tenha em mente que um dump de flash inteira contém também o bootloader e arquivos de firmware para update “normal” não contém bootloader. Então esse dump não pode ser usado para instalação normal sem ser editado antes.

Dump disponível para download aqui.

Infelizmente alcancei uma barreira. Eu preciso pelo menos de uma amostra do firmware para poder aprender como instalar o firmware via porta serial. E para deduzir como transformar um dump em arquivo de firmware usável eu também preciso de uma amostra. Mas o único link para esse firmware que consigo encontrar na web é o endereço http://www.zte-xdsl.com/300s/Firmware.rar que não funciona mais. Se alguém tiver esse firmware, por favor contribua.

6 comentários

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »