文章总结： 作者为参与特斯拉漏洞悬赏项目，通过eBay购买报废Model3的车载电脑、触摸屏等零件，在桌面搭建硬件测试环境。文章详细记录了电源配置、特殊线缆获取困难、初次尝试失败导致芯片烧坏的教训，以及最终通过购买完整线束成功启动系统的过程。成功运行后发现了开放的SSH服务和ODIN诊断接口，为后续固件提取和漏洞挖掘奠定了基础。 综合评分： 82 文章分类： 漏洞分析,安全研究,逆向分析,安全工具,实战经验

用报废车零件运行特斯拉Model 3 电脑

原创

骨哥说事 骨哥说事

骨哥说事

2026年3月26日 14:51 上海

| | | — | | 声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 |

#

#

防走失：https://gugesay.com/archives/5451

不想错过任何消息？设置星标↓ ↓ ↓

#

特斯拉运营着一个漏洞悬赏项目 (bug bounty program)，邀请研究人员寻找其车辆中的安全漏洞。为了参与，我需要实际的硬件，于是我开始在eBay上寻找特斯拉Model 3的零件。我的目标是让特斯拉车载电脑和触摸屏在我的桌上运行，启动车辆的操作系统。

车载电脑由两部分组成——MCU (多媒体控制单元, Media Control Unit) 和自动辅助驾驶电脑 (AP)，它们上下叠装在一起。在车内，电脑位于乘客座椅前方，大致在手套箱后面。这个部件本身大小像一个iPad，厚度像一本约500页的书，包裹在一个水冷的金属外壳里：

通过在eBay上搜索“特斯拉Model 3 MCU”，我找到了很多价格在200到300美元之间的结果。查看商品列表后，我发现许多卖家是“拆车”公司，他们购买报废车辆，将其拆解，然后将所有零件单独出售。有时，他们甚至会附上原报废车辆的照片，并提供一种方法，可以筛选出从同一辆车中拆出的零件列表。

为了启动车辆并与之交互，我还需要一些东西：

• 一个能提供12V电压的直流电源
• 来自报废Model 3的触摸屏模块
• 将它们连接在一起的显示线缆

对于电源，我选择了亚马逊上一款0-30V可调的型号。当时有5安培和10安培的版本可选，我觉得为安全起见留些余量，就选择了10安培版本——后来证明这是一个非常明智的决定，因为整套设备在峰值时可能消耗高达8安培的电流。Model 3的屏幕在eBay上出奇地贵，我猜是因为它是一个热门的更换部件。我找到了一个不错的交易，175美元。

最难订购的最后一个部件是连接MCU和屏幕的线缆。我需要这个是因为出售的电脑和屏幕，它们的连接线都在插头后几厘米处被剪断了（有趣的是，大多数卖家都这么做，而不是直接拔下插头）。

就在此时，我发现特斯拉公开了其所有车辆的“电气参考”布线图。在他们的服务网站上，你可以查找特定的车型，搜索某个部件（比如显示屏），它会精确地显示部件应该如何布线、使用什么线缆/连接器，甚至单个连接器内不同引脚负责的功能：

原来显示屏使用了一根6针线缆（2针用于12V和地线，4针用于数据），配有一个特殊的Rosenberger 99K10D-1D5A5-D连接器。我很快发现，除非你是批量订购的汽车制造商，否则根本买不到一根这样的Rosenberger线缆。eBay上没有，Aliexpress上也没有，基本上完全没有搜索结果。

经过一番搜寻，我发现这种线缆与一种更广泛使用的汽车线缆“LVDS”非常相似，后者用于宝马汽车中传输视频。乍一看，连接器和我需要的Rosenberger连接器完全吻合，于是我就下单了：

电脑最先到货。为了尝试给它通电，我使用特斯拉的电路图和网上人们进行类似桌上MCU设置的几张照片，查找出需要将12V和地线连接到哪个连接器的哪个引脚。由于电脑附带了被剪短了一截的线缆，我可以剥开相关电线，将电源夹子夹在正确的线上：

我看到几个红色LED开始闪烁，电脑启动了！由于还没有屏幕，没有太多与车辆交互的方式。阅读 @lewurm 之前在 GitHub 上的研究 ，我知道至少在旧版本的车辆中，车内有一个网络，其中一些组件有自己的网页服务器。我将一根网线连接到电源连接器旁边的端口和我的笔记本电脑。

这个网络没有DHCP，所以你必须手动设置你的IP地址。你选择的IP地址必须是 192.168.90.X/24，并且应该高于 192.168.90.105 以避免与网络上的其他主机冲突。在Reddit上，我找到了一份来自车辆的旧的 /etc/hosts 文件内容，显示了通常与特定IP地址关联的主机：

192.168.90.100 cid ice # mcu
192.168.90.100 ic # 仅限 Model X/S | IC = 仪表盘 (instrument cluster)
192.168.90.102 gw # 网关 (gateway)
192.168.90.103 ap ape # ap = 自动辅助驾驶 (autopilot)
192.168.90.104 lb # 不清楚
192.168.90.105 ap-b ape-b # 同样也是自动辅助驾驶
192.168.90.30 tuner # 还是不清楚
192.168.90.60 modem # 这个有 ftp 服务器

@lewurm 的博客提到，在MCU（192.168.90.100）上，端口 :22 的SSH和 :8080 的网页服务器是开放的。在较新的型号上情况仍然如此吗？是的！

我已经在MCU上找到了两个可以探索的服务：

• 一个SSH服务器，上面写着 “SSH allowed: vehicle parked” ——考虑到当前情况，这相当有趣

• 这个SSH服务器需要特殊签名的SSH密钥，而这些密钥本应只有特斯拉才能生成。

• 有趣的是，特斯拉在其漏洞悬赏项目中提供了一个 “Root访问项目”(“Root access program”)。找到至少一个有效“root级”漏洞的研究人员将获得一个用于他们自己车辆的永久SSH证书，允许他们以root身份登录并进一步进行研究。——这是一个很好的福利，因为一旦进入内部，找到更多漏洞就容易多了。

• 一个在 :8080 端口上的类似REST的API，它返回“任务”的历史记录

• 这项服务被称为“ODIN”(车载诊断接口网络, On-Board Diagnostic Interface Network)，故意暴露出来以供特斯拉的诊断工具“Toolbox”使用。

大约在这个时候，我还移除了金属屏蔽盖，以查看板子内部的确切样子。你可以看到原来上下叠装在一起的两块不同的电路板：

当屏幕和宝马LVDS线缆到货后，不幸的是，很明显连接器不合适。宝马连接器的两侧要厚得多，无法插入屏幕。这导致了一些非常简陋的临时尝试：将MCU和屏幕原本被剪短的“尾巴”线缆剥开，然后把单根电线连接在一起。电线非常敏感且纤细。这个设置 成功运行了几秒钟，但导致线屑掉落在PCB上造成短路，烧坏了一个电源控制芯片：

要找到被烧坏芯片的名称/型号极其困难，尤其是因为芯片上印刷的部分文字因损坏而变得无法辨认。为了能继续这个项目，我不得不订购另一台完整的车载电脑。

与此同时，我的朋友 Yasser (@n3r0li) 不知怎么地完成了不可能的任务，将其识别为 “MAX16932CATIS/V+T” 降压控制器，负责将电源转换为更低的电压。我们订购了芯片，并将电路板带到当地的PCB维修店，他们成功地更换并修复了MCU。现在我有了两台电脑可以工作。

所以我真的需要那根Rosenberger线缆，这是绕不过去的。

在网上寻找无果，甚至去了伦敦的特斯拉服务中心（这至少可以说是一次奇怪的经历）之后，我不得不接受我一直试图避免的事情：购买一整套仪表盘线束。

回到特斯拉的电气参考，除了连接器，你还可以找到每一个零件编号。查看连接MCU和屏幕的线缆，显示编号为 1067960-XX-E。在eBay上搜索这个编号，会跳出这个“怪物”：

原来，真正的汽车没有单独的线缆。相反，它们有这些大的“线束”，它们将附近区域的许多线缆捆绑成一个整体。这就是我之前找不到单独线缆的原因。他们根本不单独生产它。不幸的是，我别无选择，只能用80美元买下这整个线束。

尽管它很笨重，但这束线束工作得非常完美。车辆启动了，触摸屏开始工作，我的桌上有了一个正常工作的车载电脑，运行着车辆的操作系统！

现在有了运行的系统，我可以开始摆弄用户界面，与暴露的网络接口交互，探索CAN总线，甚至可能尝试提取固件。

原文：https://bugs.xdavidhu.me/tesla/2026/03/23/running-tesla-model-3s-computer-on-my-desk-using-parts-from-crashed-cars/

感谢阅读，如果觉得还不错的话，动动手指给个三连吧～

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事 骨哥说事 骨哥说事《用报废车零件运行特斯拉Model 3 电脑》