本帖最后由 tianbaoha 于 2016-1-14 22:53 编辑
以前附件在小米社区,只是加了个链接(那里没广告,访问速度快,几十兆的附件都能传)现在帖子被那边管理屏蔽了,重新在这上传了附件,图片还是链接到小米社区的。 --------------------------------------------------------------------------------------------------------- 2015-11-13 原作者发布破解方法 2015-11-24 小米发布2.6.16更新封堵破解方法 2016-01-01 小米社区管理关闭删除破解帖子
官方11月24日封堵了这个漏洞,破解需要使用之前旧版固件。 (如果你喜欢研究,可以修改脚本,2016年1月的固件仍可以破解)
这里提供 小米路由器mini 新版本的稳定版root固件(默认开启SSH)。 ------------------------------------------------------------------------------------------------------------------------- 感谢原创作者 @哒哒哒知了
原帖http://bbs.xiaomi.cn/t-11730151
由于他的是硬盘版,目录和mini的稍有不同,我修改了一下路径适配了mini,青春版由于没有usb接口不能用。
三种版本都支持: release 稳定版 stable 开发版 current 内测版
本人mini稳定版 2.6.11 开发版 2.7.11 全部测试通过!
破解开启SSH:
1:安装 python (32和64二选一) Windows 64位 https://www.python.org/ftp/python/3.5.0/python-3.5.0-amd64.exe Windows 32位 https://www.python.org/ftp/python/3.5.0/python-3.5.0.exe
(Windows XP 使用python 3.4.3)
并安装requests模块 pip install requests
2:任意版本固件(建议先恢复出厂设置)初始化后登陆路由器, 地址栏url类似下面这样: http://192.168.31.1/cgi-bin/luci/;stok=e00b01a819d8a18b93d6cedb6f74d621/web/setting/upgrade 把你登陆成功的stok值复制一下(stok值每一次都不一样),
3:mini需要准备一个U盘插入路由器,硬盘版跳过。
4:解压附件
(我在脚本里面增加了修改默认密码为admin,建议用文本编辑器打开payload改成你自己的),
硬盘版运行mi.py,mini运行mini.py, 出现提示后右键粘贴你的stok值,回车,等待操作完成后,重启后生效。
注意事项:
1:stok值得是你登陆成功后的,关闭网页或重启就失效 2:IP是192.168.31.1 如果不是自己修改py脚本 3:如果想显示详细返回信息,就用文本编辑器打开.py脚本,把里面 #print (req.content) 前面的 # 号删除(一共有4处) 4:脚本里写的是sda1,由于U盘分区的不同或多次插拔,挂载点会顺延成sdb1、sdc1或sda4、sdb4等等, 会导致不成功,需要自己修改py脚本里的路径,或者最简单的办法就是 重启,换U盘。 (操作成功返回信息:"code": 0 如果提示:not exist ext device 就是挂载点不是sda1)
目前(2015.11.19)官方发布的版本全部通杀,这个漏洞将来肯定会补,以后封了降级旧版再开启就是了。
做人要厚道,转载请注明! ------------------------------------------------------------------------------------------------
普通用户和硬盘版用户可以不用往下看了
-------------------------------------------------------------------------------------------------
详细解读:
这个 python 破解脚本执行了5个操作: 1:上传payload到路由器可写目录 2:把/etc/rc.local重命名备份为/etc/rc.local.bak 3:复制payload到/etc/目录 4:把payload重命名替换为/etc/rc.local 5:删除可写目录下的payload
rc.local里面的命令开机后会自动执行,payload是原始rc.local增加了破解命令,
原始rc.local内容: 
payload内容: 
小米dropbear 
dropbear是一个小型的ssh服务器,启动方法:/etc/init.d/dropbear start 小米在dropbear启动脚本start段里增加了判断,稳定版不让启动直接退出,nvram参数 ssh_en不是1也退出, 而开了ssh官方就不保修,这样确实降低了售后成本,虽然各地的xiaomi之家执行没有那么严格, 这下完美解决了,保修和开启SSH能共存了,再次感谢原创作者@哒哒哒知了 
------------------------------------------------------------------------------------------------------------------------- mini恢复SN:
刷了newifi或者其他没有适配mini的固件会覆盖清空你的bdata信息(丢失SN),会影响刷机和绑定
使用上述方法开启SSH后可以使用官方的bdata程序恢复Bdata: PuTTY登陆后 先bdata show查看bdata信息 
增加&修改命令:自己替换XXX bdata set model=R1CM bdata set color=101 bdata set CountryCode=CN bdata set SN=XXXXXXXXXXXX 设置默认ssid并保存: setssid_fact
model是型号 bdata set color=101就是设置为白色,随意更改,颜色定义如下: 黑色100 -- 白色101 -- 橘色102 -- 绿色103 -- 蓝色104 -- 粉色105 
CountryCode是国家代码(CN HK TW EN) SN填写你路由背面的 默认ssid的后缀是你的lan口MAC后4位大写 输入getmac eth会显示lan口MAC
可以再次bdata show查看验证是否修改成功。
这种方法修改的是Config分区,修改后能正常使用绑定,但是也有可能被清空, Bdata分区保也存着SN等信息,由于Bdata分区在官方固件下面是只读的,如果想连Bdata一起修改就稍微有点麻烦了, 如果下面的学不会,就用上面简单的方法,不提供远程协助: 1:pandorabox网站随便下载一个固件,stable下是稳定版,testing下是测试版,随便下载一个版本, 2:使用WinSCP工具把固件上传到路由/tmp 目录下, 3:在官方固件下面使用mtd程序刷入OS1,xxxx是文件名: mtd write /tmp/xxxx.bin OS1 -r
(自动重启后,默认ip:192.168.1.1 用户名:root 密码:admin ) 4:修改 Bdata.bin 里面的颜色、SN 、默认SSID 、CRC32 注意的是CRC32反序填入,我以前发过帖子但现在进不去了, 版主转载到这里了,可以参考一下。
使用WinHex就可以把Bdata文件造出来,为了方便我把建好的空白Bdata模板传上来了,按照下面的图片教程改就行了 图片教程:点击查看原图能清楚一点 
5:使用WinSCP把修改好的Bdata.bin传到/tmp目录 使用mtd程序刷入Bdata mtd write /tmp/Bdata.bin culiang-Bdata
刷完以后就可以用官方方法U盘刷回
完美修复。
再次提醒 mini用户:不要随便刷别人备份的编程器固件,如果使用了非本机的eeprom(比如刷了别人备份的编程器固件) 就把你本机原来的Factory(eeprom)分区覆盖了,使用别人的参数你的芯片不能发挥最优性能, 无线信号会受影响,可能无线会变的非常糟糕! | 
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
发表于 2015-11-19 14:52
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡