中国移动RAX3000Q最简单解锁telnet/ssh,持久化超级管理员账号方法
本帖最后由 noel902217 于 2022-9-9 13:53 编辑首先感谢大佬发现shell注入方式,为后续的一切提供了可能
中国移动RAX3000Q解锁telnet/ssh+内置的OpenWrt——可能是目前最好搞机的ipq50xx
同时本文的一些方法还借鉴了大佬博客文章下的评论区网友给出的方案
--------------------本方法不需要使用反弹shell,所以敢说是最简单的方法!--------------------
本文基于软件版本:V1.1.1.202204141725,硬件版本 TZ7.823.346A 的中国移动 RAX3000Q 路由器
关于软件版本,如果你只有admin账号,在后台看到的是V1.0,使用超级管理员登录才能看到真实的软件版本
这个版本的路由不仅删掉了 luci,每次重启之后还会删掉超级管理员账号,很恶心!
给不想折腾的用户有一些高级功能在前端不展示,但是登录后台之后直接访问相应链接即可使用http://192.168.10.1/#/home/diagnosis/tcpdump(远程抓包设置)
http://192.168.10.1/#/home/diagnosis/packetcapture(抓包设置)
http://192.168.10.1/#/home/network/tr069(Tr069远程下发设置)
http://192.168.10.1/#/home/network/fotaSetting(和苗FOTA设置)(重启后失效)
http://192.168.10.1/#/home/network/andLink(andlink设置)
http://192.168.10.1/#/home/network/routeList(静态路由)</span>
我是把 ANDLINK、FOTA 和 TR069 服务都关闭了
static/image/hrline/line2.png
下面干货来了
[*]删除 root 密码
[*]在web面板「诊断 - ping」页面的ip地址输入框填入以下内容后点击开始(页面没有反应,不过不用担心,执行了就行):
$(passwd${IFS}-d${IFS}root)
[*]开启 ssh 服务
[*]ping 输入框有长度限制且不能输入空格,我们这里使用 ${IFS} 替换空格,下面命令表示在22端口启动 dropbear ssh 服务
[*]在web面板「诊断 - ping」页面的ip地址输入框填入以下内容后点击开始:
$(dropbear${IFS}-p${IFS}22)
[*]通过 ssh 连接路由
[*]此时的 ssh 运行在 22 端口
ssh -p 22 root@172.16.2.204
[*]因为我的路由器是桥接模式,所以这里需要注意的是,ssh服务的IP是 172.16 网段的(可以通过admin登录路由器后台查看:主页 ——> LAN IP),而不是 192.168.10.1 这个路由器管理后台,我被这个东西卡了好久。登录后记得用passwd修改root账号密码
[*]非桥接模式就是 192.168.10.1
[*]更改 dropbear (ssh服务)配置并设置自启
[*]编辑 dropbear 配置文件 vi /etc/config/dropbear
[*]改为下面这个样子,只是修改端口和 enable 值,关于vi的使用自己百度一下吧
[*]config dropbear
option PasswordAuth 'on'
option RootPasswordAuth 'on'
option Port '22'
option enable '1'
打开 dropbear 开机启动:
/etc/init.d/dropbear enable
持久化超级管理员账号(我被坑了好几小时)杀千刀的程序员写了一个脚本,开机后清除超级管理员账号,关键是优先级比较低,把我写的开机运行脚本都覆盖了,一直以为是我的方法没生效
[*]添加超级管理员账号(ssh登录后执行以下命令)
添加超级管理员用户: mdlcfg -a SYS_SUPER_LOGIN_NAME="superadmin"
添加管理员密码: mdlcfg -a SYS_SUPER_LOGIN_PWD="83583000"
账户密码都是可以自己设置的,不固定。此时你已经可以用设置的超管账号登录路由器后台了
[*]修改开机自动运行脚本 vi /etc/init.d/tz_process_start
这里要修改的主要有两处,首先是最后一段
[*]super_login_name=$(mdlcfg -g SYS_SUPER_LOGIN_NAME)
if [ -n "$super_login_name" ]; then
mdlcfg -d SYS_SUPER_LOGIN_NAME
mdlcfg -d SYS_SUPER_LOGIN_PWD
mdlcfg -d SYS_WEB_SUPER_PWD_RULE
mdlcfg -d SYS_SENIOR_LOGIN_NAME
mdlcfg -d SYS_SENIOR_LOGIN_PWD
mdlcfg -d SYS_WEB_SENIOR_PWD_RULE
mdlcfg -d SYS_WEB_SENIOR_PWD_HEAD
mdlcfg -c
fi
[*]我是直接删除的,这段删完后,重启就不会自动删除超级管理员账号了
[*]然后往上找到这段,关于FOTA,我也是直接删除了,在后台关闭 FOTA 不生效就是因为这段脚本
#和苗FOTA启动
/bin/fota_start.sh restart >dev/null 2>&1 &
static/image/hrline/line3.png
下一篇帖子写一下安装 luci 的方式,也比较简单,不过这机子可用闪存很小,不足10M,可玩性很差,所以我后来重置了机器后就没装 luci 了
好像没有写telnet的开启方法,主要是太简单了,而且有了ssh,telnet也用不着了。
有两个方法,一个使用超级管理员账号在后台打开,注意默认端口是 4713
第二个方法是ssh连上后台,执行 /etc/init.d/telnet enable
你也可以编辑telnet的配置文件 /etc/config/telnet 把端口改成你喜欢的 CR8808能用这个方法吗 unixcs 发表于 2022-9-9 02:00
CR8808能用这个方法吗
这就不知道了,后台也是中国移动的管理后台吗 牛逼了:):):) 成功了谢谢!催更下一篇 蹲小板凳学习 本帖最后由 agy 于 2022-9-11 20:47 编辑
输入这条命令vi /etc/init.d/tz_process_start出现下面内容
#!/bin/sh /etc/rc.common
START=99
start(){
/bin/create_user_chain.sh 2>/dev/null
/bin/generate_lan_info_list.sh 2>/dev/null
/bin/set_lan_rule.sh 2>/dev/null
/bin/tz_firewall.sh 2>/dev/null
#...............
firewalltools 2>/dev/null &
/bin/tz_broadband_monitor.sh -s boot > /dev/null 2>&1 &
/bin/monitor_ip_change.sh 2>/dev/null &
/bin/tz_upgrade_client -i br-lan &
/usr/sbin/ezmesh_start.sh start > /dev/null 2>&1 &
/usr/sbin/check_linkloop.sh > /dev/null 2>&1 &
# .....................sysntpd...............,....................................
/bin/ntpd_start.sh > /dev/null 2>&1 &
- /etc/init.d/tz_process_start 1/81 1%
不知道添加在哪里,求楼主解读
我的路由器版本,
agy 发表于 2022-9-11 20:44
输入这条命令vi /etc/init.d/tz_process_start出现下面内容
#!/bin/sh /etc/rc.common
按方向键下键,要删的还在下面,vi 编辑文件就是这样的,不会一次性展示所有内容 hobyvv 发表于 2022-9-10 10:51
成功了谢谢!催更下一篇
这就开始写 牛哦!
支持一下! 看到JS涨价了,就赶紧来恩山看看,果不其然:( s6bazh 发表于 2022-9-13 16:48
看到JS涨价了,就赶紧来恩山看看,果不其然
哈哈哈哈哈怪我 noel902217 发表于 2022-9-13 20:14 static/image/common/back.gif
哈哈哈哈哈怪我
还好我之前已经90买了几个,本来想帮朋友买,现在没性价比了,研究别的去https://www.right.com.cn/forum//mobcent//app/data/phiz/default/39.png
s6bazh 发表于 2022-9-14 08:38
还好我之前已经90买了几个,本来想帮朋友买,现在没性价比了,研究别的去
和90比确实没有性价比了,后面肯定还会有更有性价比的产品,等等党永远不会亏