從零開始

已翻车「零元购」斐讯 K2T 路由器拆机 TTL 救砖 OpenWRT 集客AP固件 收集下载

2018 年逛咸鱼发现有人卖 K2T 砖头,据说没拆机,刷砖,外省,¥55 包邮收了。到手看了一下,确实没拆过机。上电,网口完全没反应。没多折腾,直接拆机。相关信息:近日(2021-12-09)上海联璧金融实控人顾国平已被判无期

「已翻车「零元购」斐讯 K2T 路由器拆机 TTL 救砖 OpenWRT 集客AP固件 收集下载:https://ostarted.com/73」

斐讯 K2T 路由器最新 OpenWRT 固件下载:点击直达

斐讯 K2T 路由器主机拆机

这个 K2T 主机挺好拆,卸掉藏在底部标签内两颗螺丝,慢慢撬开即可。底部两颗螺丝位置参考下图:

「已翻车「零元购」斐讯 K2T 路由器拆机 TTL 救砖 OpenWRT 集客AP固件 收集下载:https://ostarted.com/73」

拆开之后,可以看到里面只有一块主板+4 个 PCB 天线:

「已翻车「零元购」斐讯 K2T 路由器拆机 TTL 救砖 OpenWRT 集客AP固件 收集下载:https://ostarted.com/73」

天线还是用热熔胶固定,主板上一块大散热片,芯片藏在底下。拆掉散热片和屏蔽罩就可以看到芯片。

16M Flash 芯片 25Q127、TTL 接口

「已翻车「零元购」斐讯 K2T 路由器拆机 TTL 救砖 OpenWRT 集客AP固件 收集下载:https://ostarted.com/73」

64M 内存 W9751G6KB-25(K2P 是 128M)

CPU:QCA9563-AL3A,集成 2.4G;无线功放芯片:4252。

千兆交换机芯片:QCA8337

5G 芯片:QCA9886

拆机到此结束,网口和电源部分没有拆,要暴力拆。

更详细拆机可参考「路由器交流」的 K2T 暴力拆机文章,附上文章截图。▼展开

原文链接:K2T 暴力拆机文章


斐讯 K2T 路由器 TTL 救砖

下面是救砖部分,参考技术小站文章:斐讯 K2T 官方固件开 telnet、ssh 及备份说明 · 教程备份

TTL 接线,K2T 路由器 TTL 引脚定义请查看前面的图片,或「点击此处查看」。

K2T 路由器 TTL 接口 GND 与 USB 转 TTL 模块接口 GND 连接;K2T 路由器 TTL 接口 RX 与 USB 转 TTL 模块接口 TX 连接;K2T 路由器 TTL 接口 TX 与 USB 转 TTL 模块接口 RX 连接。

USB 转 TTL 模块接口参考图:

TTL 连接好后,用 Putty 或 Xshell 之类工具连接串口(USB 转 TTL 模块要安装好驱动),波特率:115200。建议使用 Xshell。

在「计算机管理」->「设备管理器」->「端口(COM 和 LPT)」处查询 USB 转 TTL 模块串口号,如:COM4

Xshell 新建连接,名称随意,协议选串口 SERIAL,串口号选择上面查询到的号码,如 COM4,然后连接即可。

连接成功会提示:

Connecting to COM4... Connected.

如果串口号没选对,或出现打开串口失败提示:

Connecting to COM1... Failed to open COM1.

确定串口连接正确,复位/重新上电 K2T,看到 Xshell 出现启动信息,按几下回车键(看 TTL log 其实按任何键都行),中断自动启动。

U-Boot 1.1.4-gbc73b198 (Mar 29 2018 - 15:36:58)

ap152 - Dragonfly 1.0DRAM:
sri
ath_ddr_initial_config(278): (ddr2 init)
ath_sys_frequency: cpu 775 ddr 650 ahb 258
Tap values = (0xe, 0xe, 0xe, 0xe)
64 MB
Top of RAM usable for U-Boot at: 84000000
Reserving 202k for U-Boot at: 83fcc000
Reserving 192k for malloc() at: 83f9c000
Reserving 44 Bytes for Board Info at: 83f9bfd4
Reserving 36 Bytes for Global Data at: 83f9bfb0
Reserving 128k for boot params() at: 83f7bfb0
Stack Pointer at: 83f7bf98
Now running in RAM - U-Boot at: 83fcc000
Flash Manuf Id 0xc8, DeviceId0 0x40, DeviceId1 0x18
flash size 16MB, sector count = 256
Flash: 16 MB
*** Warning - bad CRC, using default environment

Power up PLL with outdiv = 0 then switch to 3
In: serial
Out: serial
Err: serial
Net: ath_gmac_enet_initialize...
No valid address in Flash. Using fixed address
ath_gmac_enet_initialize: reset mask:c02200
athr_mgmt_init ::done
Dragonfly ----> S17 PHY *
athrs17_reg_init: complete
SGMII in forced mode
athr_gmac_sgmii_setup SGMII done
: cfg1 0x80000000 cfg2 0x7114
eth0: 02:13:7f:29:3b:ad
eth0 up
eth0
Setting 0x181162c0 to 0x4b962100
Hit any key to stop autoboot: 0
ath>

看到 ath> 字样表示中断自动启动成功。

注意:如果串口打印有乱码,无法进入启动模式,可能是有些 USB 转 TTL 芯片(如 CH340)波特率有误差导致,可以将波特率改为 117200 或其他波特率尝试。推荐使用 FT232R USB 转 TTL 芯片。

将电脑 IP 设置为 192.168.1.10,计算机网口连接到 K2T 路由器 LAN 口。打开 tftp,把 K2T「TTL 救砖固件」解压后放入 tftp 目录。

用如下命令刷入官改救砖固件

tftp 0x81000000 k2t_v10d_tftp.bin
erase 0x9f090000 +0x880004
cp.b 0x81000000 0x9f090000 0x880004

附上执行命令 LOG,可以参考一下:

ath> tftp 0x81000000 k2t_v10d_tftp.bin
Trying eth0
dup 1 speed 1000
Using eth0 device
TFTP from server 192.168.1.10; our IP address is 192.168.1.1
Filename 'k2t_v10d_tftp.bin'.
Load address: 0x81000000
Loading: T T T T T T #################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
###################################################
done
Bytes transferred = 8912900 (880004 hex)
ath> erase 0x9f090000 +0x880004
.........................................................................................................................................
ath> cp.b 0x81000000 0x9f090000 0x880004
Copy to Flash... done
ath> reboot

等待重启完,电脑 IP 改为自动获取,如正常应该能自动获取到 IP,如 192.168.1.xxx。192.168.1.1 可登陆路由器后台。(用户名 root,密码 admin)

如需备份,可以参考下面操作,备份所有分区。刷好官改救砖固件,进入后台打开 ssh,Xshell ssh 登录路由器(用户名 root,密码 admin)。

cat /proc/mtd

可以查看所有分区:

root@K2T:~# cat /proc/mtd
dev:    size   erasesize  name
mtd0: 00030000 00010000 "u-boot"
mtd1: 00010000 00010000 "config"
mtd2: 00050000 00010000 "permanent"
mtd3: 00120000 00010000 "kernel"
mtd4: 00e40000 00010000 "rootfs"
mtd5: 00200000 00010000 "rootfs_data"
mtd6: 00010000 00010000 "art"
mtd7: 00f60000 00010000 "firmware"
mtd8: 00010000 00001000 "spi0.1"

分别输入下面的命令备份各个分区:

dd if=/dev/mtd0 of=/tmp/mtd0
dd if=/dev/mtd1 of=/tmp/mtd1
dd if=/dev/mtd2 of=/tmp/mtd2
dd if=/dev/mtd3 of=/tmp/mtd3
dd if=/dev/mtd4 of=/tmp/mtd4
dd if=/dev/mtd5 of=/tmp/mtd5
dd if=/dev/mtd6 of=/tmp/mtd6
dd if=/dev/mtd7 of=/tmp/mtd7

注意:用命令备份好 0~4 分区后,用 WinSCP 连接路由器进入 /tmp 目录,把这几个分区备份传输到计算机,然后把备份删除。再执行 5~8 分区备份,否则有可能内存不够导致死机,备份完剩下的分区,同样用 WinSCP 传输到计算机,然后删除路由器上的备份文件。

如需恢复分区,将需要恢复的分区用 WinSCP 上传至路由器 /tmp 目录,比如恢复第 7 分区:

mtd -r write /tmp/mtd7 firmware

恢复 art 分区

mtd -r write /tmp/mtd6 art

请谨慎恢复 u-boot(mtd0)分区,如果操作错误,会导致变砖,只能编程器恢复。只要 u-boot 没坏,其他所有分区都可以在 u-boot 下通过 ttl 使用 tftp 来恢复。

说明:官改缺省开启 telnet 和 ssh,ssh 用户名为 root,缺省密码为 admin,可以在高级设置中关闭 telnet 和 ssh。

特别说明:K2T 固件刷写不能直接采用 mtd 方式(即 mtd -r write xxx.bin firmware),容易出现刷写错误导致无法启动或无法进入管理页面,应该先在内存建立 ram 盘,然后再执行 mtd 命令!!!

救砖至此结束。

刷入 breed 和 OpenWRT

breed 下载地址:breed-qca9563-phicomm-k2t(20201009)、旧版 · · · 官网

刷 breed 教程来自:ptpt52 - K2T 免拆机器刷入 breed 方法

刷入 ptpt52 制作的特别版本 openwrt 固件,用作解锁 u-boot

特制固件:openwrt-k2t-initramfs-factory-uboot-unlock.bin —— 体积小,不容易刷砖头,解锁 u-boot,只作刷机过渡版本,不能作为正式版使用。

开启 telnet,已经开启请忽略这一步,已经刷其他,只要能登录 ssh 或者 telnet 都可以。附开启 telnet 方法:K2T Telnet 激活工具 V1.0绿皮火车下载,官方 V22.23.1.158 版本后,暂失效)

通过 WinSCP 将 openwrt-k2t-initramfs-factory-uboot-unlock.bin 上传到 /tmp/ 路由器目录,SSH 或者 Telnet 登录路由器,执行下面命令刷入特制固件「下载:绿皮火车」:

mtd -r write /tmp/openwrt-k2t-initramfs-factory-uboot-unlock.bin firmware

命令执行 LOG:

root@K2T:~# mtd -r write /tmp/openwrt-k2t-initramfs-factory-uboot-unlock.bin firmware Unlocking firmware ...

Writing from /tmp/openwrt-k2t-initramfs-factory-uboot-unlock.bin to firmware ... Rebooting ...

另,若已经是 OpenWRT/LEDE、或者 natcap 系统,下载 openwrt-k2t-uboot-unlock.bin 直接界面升级就行。

两个特制固件校验 MD5

fcbab4d79152aa4de38ee0bdd436883d openwrt-k2t-initramfs-factory-uboot-unlock.bin (解锁 uboot,临时使用,不完整,刷机过度,不容易砖)
062173c2f254aa425b5649744ca0c92a openwrt-k2t-uboot-unlock.bin (完整固件,解锁 uboot,用于 openwrt 界面升级的操作)

刷完特制固件后重启完进入 OpenWRT 界面开启 SSH

登录界面:192.168.15.1,进入「系统」->「管理权」页面,开启 SSH。登录账号/密码:root/admin

刷入 breed

将前面下载好的 K2T breed 文件:breed-qca9563-phicomm-k2t.bin 使用 WinSCP 上传至路由器 /tmp 目录,然后执行命令刷入 breed

mtd write /tmp/breed-qca9563-phicomm-k2t.bin u-boot

命令执行 LOG:

root@NATCAP:~# mtd write /tmp/breed-qca9563-phicomm-k2t.bin u-boot Unlocking u-boot ...

Writing from /tmp/breed-qca9563-phicomm-k2t.bin to u-boot ...

注意:改 U-boot 有风险,如刷写失败可能需要编程器才能救砖。

刷入正式版 OpenWRT

breed 成功刷入后,就可以刷入正式版 OpenWRT。可以进入 breed 刷入,也登录前面刷入的特制固件管理页面直接不保留配置升级。固件选 sysupgrade 版本即可。

斐讯 K2T 路由器 刷机 OpenWRT 固件资源收集 下载

OpenWRT 固件有好几个,可自行刷入尝试。

lean - OpenWrt

帖子:OpenWrt R7.7.4 K2T 正式版固件发布

刷机方法:先刷好 Breed,然后在 Breed 中刷入临时固件 openwrt-k2t-initramfs-factory-uboot-unlock.bin ,临时固件 192.168.15.1,密码 admin。

然后在临时中刷入 R7.7.4 即可,默认 IP 192.168.1.1,登陆密码:password

固件下载:openwrt-R7.7.3-ar71xx-generic-k2t

openwrt-ar71xx-R7.7.4-generic-k2t-squashfs-sysupgrade

ptpt52 - OpenWrt/LEDE 最新固件

帖子:OpenWrt/LEDE 最新固件 适配大量硬件

固件下载:

fengzheng081212 - K2T OpenWRT 固件 Lienol's 源码

帖子:[k2t] 编译了一个 k2t 的 openwrt,来自 Lienol's 的源码,测试一天感觉稳定到可以养老了!

固件下载:fengzheng081212-k2t-op-20201003

xiasenlinmu - K2T 无线 mesh 有线回程固件

折腾初衷,鉴于集客固件的不方便:不能与主路由组网;不能与其它非集客固件的路由器组网;mesh 不能加密,没有 mesh 的只能走有线。

基于 lede 源编译,登录 IP:192.168.10.1;密码:admin

固件下载:

[k2t] 斐讯 K2T 双频千兆 Wave2 集客 AP 固件:微 AC、mesh、kvr 快速漫游……

【硬件支持】高通 9563+9886+8337(斐讯 K2T,自动识别 A1/A2/A3)

强烈建议先刷 breed!不能在集客系统里升级其它固件。

uboot 刷机命令是:tftp 0x80060000 JIKEAP_K2T_QCA956X_6.0_2019051001.bin&&erase 0x9f090000 +$filesize&&cp.b $fileaddr 0x9f090000 $filesize

功能简介:支持第二代 11ac mu-mimo Wave2 技术,接入用户是传统 AP 的 3 倍。微 AC 功能。MESH,多点有线回程,无限级联,无 DHCP 组网,统一管理。AP 支持跨三层、VLAN 管理(DHCP Option43、静态路由)。中文多 SSID、SSID VLAN 隔离, 业务和管理 IP 隔离。kvr 快速漫游、负载均衡。(kvr 默认开启,部分电器不支持 kvr 协议无法连接无线时请关闭 kvr,或添加 2 个 SSID 分别使用)……

集客 AP 固件是针对无线工程场景开发,是纯 AP 固件,无路由和 DHCP 功能。

集客 AP 使用的是双 IP 管理方案。默认固定管理 IP 为:6.6.6.6(如果网络中有 DHCP 服务,AP 会自动获取 IP 地址也可以进入管理页面) 默认密码:admin

固件下载:

GECOOS_K2T_QCA956X_6.3_2020122800.bin

其它参考资料

shk_136 - k2t 最新刷 lean 大固件教程整理,刷 breed,超频方法

航校门口二楼修 - [k2t] 我的刷 breed 机方法 一步一图超详细

abccba94 - 【2018-05-21】斐讯 K2T 官方固件定制版,加 adb、S-S R、KMS 等【V1.0】

退出移动版