TPlink 原始openwrt固件 SSH 密码破解

z9134***

tplink ttl连接路由器后，想进入看一下原始设备原始的信息，发现需要登录，试了下都没办法登录，留下方法给后来人吧

1. [ 106.840000] [hw-wdt] watchdog is enabled.
   
2. procd: - init complete -
   
3. System boot done! Exit the zombie monitor process.
   
4. Please press Enter to activate this console.
   
5. 
   
6. TP-LINK login:
   
7. TP-LINK login: root
   
8. Password:
   
9. Login incorrect
   
10. 
    
11. TP-LINK login: daemon
    
12. Login incorrect
    
13. TP-LINK login:
    
14. 
    
15. TP-LINK login: ftp
    
16. Login incorrect
    
17. TP-LINK login:

复制代码

后面又尝试了用binwalk解压了原始固件，在squashfs-root文件系统下 /etc目录中找到了shdow 和  passwd文件
passwd文件：

1. root:x:0:0:root:/root:/bin/ash
   
2. daemon:*:1:1:daemon:/var:/bin/false
   
3. ftp:*:55:55:ftp:/home/ftp:/bin/false
   
4. network:*:101:101:network:/var:/bin/false
   
5. nobody:*:65534:65534:nobody:/var:/bin/false

复制代码

shadow文件:

1. root:$1$tHiYRbC2$zCy8uUkCeF8Rwa8p2yPKX1:16800:0:99999:7:::
   
2. daemon:*:0:0:99999:7:::
   
3. ftp:*:0:0:99999:7:::
   
4. network:*:0:0:99999:7:::
   
5. nobody:*:0:0:99999:7:::
   

复制代码

尝试清除了shadow文件root的密码，直接修改为 root::16800:0:99999:7:::
重新mksquashfs压缩回去，写入固件，但还是会有密码，
后面又尝试了修改passwd文件， 把daemon、ftp用户打开，修改*为x,  但是用户名输入之后就会Login incorrect，只有root用户可用、
后面又把 shadow和passwd删除，但是并没有什么用。

换个思路，TTL不行就换SSH吧，不过TPlink直接关闭了SSH通道开启诊断模式就会打开ssh,但默认端口不是22，需要下载配置信息查看端口号。








下载的.bin的配置文件，直接 tar -zxvf  xxxx.bin 解压
打开\tmp\userconfig\etc\config下的 dropbear 文件，option Port中的就是端口号，option ssh_port_switch里面是'on',那么你的ssh就是打开的。
修改/etc/passwd 和 /etc/shadow文件来增加用户


dropbear文件

1. #修改文件userconfig/etc/config/dropbear,
   
2. #查看option ssh_port_switch值，修改为'on'
   
3. #如果已经为'on'则无需修改
   
4. config dropbear
   
5. option PasswordAuth 'on'
   
6. option RootPasswordAuth 'on'
   
7. option Port '34000'
   
8. option ssh_port_switch 'on'
   
9. #记下option Port端口号--这是SSH连接端口号

复制代码

passwd文件

1. #文件:/etc/passwd
   
2. #复制1行root
   
3. root:x:0:0:root:/root:/bin/ash
   
4. #并修改名字
   
5. myname:x:0:0:myname:/root:/bin/ash

复制代码

shadow文件

1. #文件:/etc/shadow
   
2. 添加1行
   
3. myname:$1$12345678$0YZqMCdlfK6hUgWzHk5mQ1:17703:0:99999:7:::
   
4. #这个密码是qwe123
   
5. #你也可以在linux下利用以下代码自己生成密码
   
6. perl -e 'print crypt("123456","\$1\$aaaabbbb\[        DISCUZ_CODE_5        ]quot;) . "\n"'
   
7. #123456为密码,成功后将输出加密后的密码

复制代码

修改完成后压缩回去，我使用的是tar -zcvf 指令，但是我还原后，发现路由器重启后配置全部丢失了，修改失败，可能是我压缩的指令不对，linux下压缩解压不怎么熟，如果有人知道的话在评论区留言哈、


采用另外一种破解root密码的办法，直接在linux下，输入指令 XXXXXXXXXXXX 为12位MAC地址，不知道的话，直接看路由器标签

1. echo -n "XXXXXXXXXXXX" | md5sum

复制代码

打出来的值取前八位，就是你的root账户的密码


成功登陆：




参考链接：
https://rayfalling.com/2020/01/tp-link-tl-war1200l-ssh/
https://www.eatm.app/archives/395.html

66666***

感谢大神分享！大神666

amin***

既然能解包再封包，理论上替换shadow里的内容就可以啦，或者看看是不是有个启动时的uci配置教本自动重置了shadow内容

amin***

既然能解包再封包，理论上替换shadow里的内容就可以啦，或者看看是不是有个启动时的uci配置教本自动重置了shadow内容

amin***

另外，如果解包后把dropbear关闭，好像可以用telnet免密码登录的，登录后再改密码

amin***

请问你这是openwrt固件，还是tplink官方固件呢？

暴***

方法失效了

she***

aming.ou 发表于 2023-1-2 09:13
另外，如果解包后把dropbear关闭，好像可以用telnet免密码登录的，登录后再改密码 ...

telnet以后如何操作呢 大佬

amin***

shelve 发表于 2023-6-9 12:01
telnet以后如何操作呢 大佬

只要telnet能成功登录后，想怎么操作就怎么操作。都是敲命令
例如:
cd
ls
ls -l
cat
passwd

she***

aming.ou 发表于 2023-6-9 12:26
只要telnet能成功登录后，想怎么操作就怎么操作。都是敲命令
例如:
cd

我的登录后是 busybox
只支持有限的几个命令
help goash date ping df arp ifconfig route reboot nslookup clear du arping top free uptime brctl iwconfig iptables
这些   

amin***

shelve 发表于 2023-6-9 12:53
我的登录后是 busybox
只支持有限的几个命令
help goash date ping df arp ifconfig route reboot nslook ...

busybox的命令少的可怜啊，这些指令，好像啥也完成不了，连恢复重置firstboot都不支持。感觉你进的是恢复模式，不是正常的系统。 话说，你这情况的来龙去脉是什么呢？