前言

关注公众号的师傅们应该看过之前的一篇文章《近源渗透 P4wnP1_Aloa（一）》，在这篇文章中我使用的是树莓派zero (w)但是一年过去，随着芯片价格水涨船高，树莓派也跟着一路涨甚至缺货很难买到。

但是现在再看看价格，足足翻了几倍，涨了接近4倍，真“理财产品”，这么高的价格，要不小心丢了也挺可惜的。不过最近在探索的时候发现了个好玩的东西，4G随身wifi，平常用来上上网，尤其在各种演练的时候使用，防溯源又好用（我手头就有个买的华为的无线网卡，大几百的价格，但是大家在买的时候有没有注意过那种特别便宜的随身wifi，我们的故事就从这里开始。

这是什么

大家在淘宝一搜基本上能搜到那种几十块钱的随身wifi

你可能会好奇为啥会这么便宜？ 首先便宜的随身 Wi-Fi 基本用的都是工模的方案，像是高通的 410、高通的 210、中兴微等方案，外观差别可能很大，内在或许都是同一种方案（同一种方案具体的板子也会有不同），当然也会有可能同一个商品发给买家不同的型号；其次低价的随身 Wi-Fi 商品基本都会有流量套餐选择，里面有一张 esim 卡，你扫码实名认证激活就能使用，当然大部分里面其实都是有一个实体卡槽的（也有坑的产品没有），可以使用自己的手机卡套餐，只是需要自己手动切卡。

大多数情况下，杂牌的随身Wifi要比大牌正品的随身Wifi好破解。这是因为受限于成本，山寨厂家一般都是贴牌用的相同方案，甚至部分模具都一样，这也就意味着他们没有精力和财力去做主板9008端口和adb的屏蔽，这对他们自己调试也不方便。而像华为中兴这种大牌子的则比较难，有的使用自有芯片方案，或者需要硬改，我们在这里不考虑。原则上，你随便买一个随身Wifi，能破解的可能性都很大。只不过需要进行一些额外操作，而且教程也不完善，难度比较高。

默认基本的配置都是：

• msm8916 主控 Cortex-A53 * 4 on 0.9GHZ
• 512MB内存+4GB储存的拆机二手emcp
• WCN3620 & WCN3680b
• pm8916 PMIC
• android 4.4 系统

我们来对比下树莓派的配置可以看到和树莓派zero的配置其实差不多，少了挺多东西，但是能干的事情还是挺多的。如果你也想折腾可以关注公众号回复随身wifi获取链接，总结了一些我遇到的一些比较好的网卡。

成果展示

首先来看看我用这些网卡折腾了什么东西。

感兴趣的小伙伴可以一起交流

目前只到手三个跑跑Nmap什么的，适用到了现场直接找地方插电源远程渗透 还可以安dockerWIFI钓鱼更多的功能还在探索，这个机器还是挺强大的，而且外形小巧，成本低廉。

选购

购买的时候一定注意正面字样“TD-LTE 无线数据终端”。（叫什么其实不重要，这种杂牌机的名字不固定，但一定长得要和图中一样），也可以关注公众号回复随身wifi查看推荐的机器。

折腾

准备工作

1. 高通410（msm8916）方案的随身 Wi-Fi：板子上的丝印是 UFI001B、UFI001C、UFI003、UFI-W-001 最好，或者 SP970
2. 一台 Windows 电脑（建议安装火绒，一些文件会被 Win 默认防护当病毒删除）
3. 小卡转大卡 SIM 卡套
4. 螺丝刀（拧随身 Wi-Fi 十字小螺丝）

当然如果你直接使用esim的流量，那就不用拆设备了，直接可以用

检查

到手后第一件事，先插上电，连上随身 Wi-Fi 提供的 Wi-Fi，进入后台，检查下是否能正常工作，防止到手就是坏的。默认设备5分钟没有网络就会自动重启，买到手的时候差点以为都是坏的然后插电脑上看看电脑是不是识别出来了硬件，诸如adb或者Android的字眼，这都意味着你的机器是可以不拆机破解的，他的adb端口是开的。然后用螺丝刀拆开检查板子，是否有卡槽，以及上面的版本丝印。

驱动

我们先安装需要的9008驱动。打开9008免签名驱动文件夹，安装驱动。

刷机工具

打开 Qualcomm Premium Tool V2.4 文件夹。先用注册机生成.key文件。后面会提示保存.key文件到哪里，你选择一个你找的到的地方就可以 然后打开Premium Tool v2.4。点击Help下的Activate激活 选择你刚才保存的.key文件即可激活成功

刷机

刷机有风险，过程需谨慎，本文不对刷砖了的负责拔下来随身Wifi，用个笔尖或者什么东西按住了复位键，重新插上电脑。伴随着清脆的提示音，请右键打开 计算机-管理-端口，查看是否已识别9008端口。而且此时随身Wifi指示灯不亮。看到之后就可以打开工具点击之后就可以发现识别了内部分区，我这个机器是已经刷好了系统的接着我们来刷写镜像，选中27 userdata，点击下方的write，选择 UFIOO1C_MB_V01_芷荷_救砖_ROM 文件夹下的userdata.img点击do job刷入。刷写过程比较漫长，千万不要认为软件卡死强行退出。下方显示成功或者灰色的按钮恢复彩色即说明刷写完毕。

ARDC

在刷机过程中，我们可以安装 投屏软件 ARDC ，一路点击安装即可，刷机完成之后拔出再插入就可以进去界面了

第二种快速刷机方法

由酷安大佬写的一款工具，直接插入随身wifi，打开程序就可以进行刷机。

刷入debian系统

上面这么一波折腾之后，我们可以成功在里面安装APK等应用了，之后可以开始折腾东西。

如果需要使用sim卡流量，请在刷debian之前确认是否可以正常使用sim卡上网

接下来我们就来刷入 OpenStick 用来安装我们的各种软件，其他系统还在研究怎么适配，有兴趣大佬可以研究下kali怎么搞进去，搞进去一套P4wnP1_Aloa

https://www.kancloud.cn/handsomehacker/openstick/2636505

★

针对于msm8916芯片的4G网卡的逆向工程和Mainline Linux移植。旨在实现一个廉价的带4G功能的ARM64单板电脑（性能其实和树莓派zero2、树莓派3b差不多）。提供完全可用的Debian发行版镜像和刷机方法。另外还会提供emcp扩容等高级玩法。支持电路板丝印为UFI001B、UFI001C、SP970、UZ801开头的4G无线网卡。

”

更多介绍可以去官方文档查看，这里我们直接来介绍如何刷机。以Windows为例，我们先安装好上面的驱动adb devices首先看看设备正常连上没adb reboot fastboot接着把设备重启到fastbot模式

1. 解压base.zip压缩包。
2. 将你的设备置于fastboot模式
3. 执行其中的flash.bat
4. 当完成后解压<系统名称>.zip压缩包。
5. 执行其中的flash.bat

刷的过程全自动，慢慢等进度条刷完就行，刷完成之后我们拔插下设备，再看看adb devices是否显示设备

RNDIS

在折腾完之后，我们可能会发现在网络连接里的设备不见了，这时候我们得去设备管理器里面去看下，由一个未知的设备

1. 单击更新驱动程序 – 选择“浏览我的计算机以查找驱动程序软件”。然后“让我从计算机上的设备驱动程序列表中选择”。
2. 选择“网络适配器”部分
3. 选择“Microsoft”
4. 然后找到一个带有NDIS名字的驱动点击即可识别了

接着我们就能看到类似这样的一个图标出现

配置设备

如果你跟我一样，买到了那种没有sim卡卡槽的，而且懒得退货的（其实是买了一个月才折腾，那么安装配置的时候需要连接WiFi。连接设备有种方式

1. adb shell
2. ssh 找到你网卡的ip，一般是192.168.68.1 用户名user 密码为1

连上之后我们首先先配置下export TERM=xterm，否则一些命令会出现TERM environment variable needs set.的报错。

接着我们使用nmtui选择第二个选项点进去之后就能看到你家的wifi列表了，选择好wifi之后点击Activate输入密码之后就可以连接了，之后你会发现你的电脑也有了网络。至此剩下的软件什么的就可以慢慢折腾了，有想法的大佬也可以看看能不能把一些渗透软件装上去。这样个网卡直接插在现场的电脑，就可以远程进行操作了，加上流量卡，如果是esim甚至都不用插自己卡

后记

至此，折腾设备的道路才刚刚开始，不过要注意的是安装软件的时候要注意磁盘容量，它只有4个G。对于在越来越卷的红队中，利用这么一款低成本网卡在现场能插点进行快速渗透。当然它能做的不止这些，目前的想法还有插多个运营商4G卡，在路由器上轮播实现防溯源动态稳定代理池、自动抓取目标机器数据流量包等等，后续等有时间慢慢更新。文中提到的工具可以至PAN下载https://pan.wgpsec.org（阅读原文可跳转）

参考文章 

《随身Wifi刷机破解折腾入门漫谈》https://yanziblog.top/291/

《4g 随身 Wi-Fi 刷 openwrt 变成软路由》https://qust.me/post/msm8916/

《postmarketos Windows FAQ》https://wiki.postmarketos.org/wiki/Windows_FAQ