1 官方固件利用Web注入漏洞开启SSH
1.1 更换至漏洞官方固件版本
1.1.1 下载固件
有漏洞固件版本为:AC2100 2.0.7*版本
官方下载链接:
1.1.2 更换固件
在管理页面降级到对应版本,进行初步设置,可以先关掉自动升级或不接外网防止自动升级到最新版本。
1.2 漏洞利用(漏洞原理:略)
1.2.1 使用管理密码登录管理页面
管理页面登录后地址栏链接应为:
http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/web/home#router
PS: 和小白同学解释下,<STOK>是代表你登录后自动生成的那一长串数据,每个人都不一样,用于替换下一步中的链接中部分。
1.2.2 一步到位漏洞注入
在浏览器地址栏中输入以下链接代码,注意替换掉<STOK>部分,否则无效:
http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20nvram%20set%20ssh_en%3D1%3B%20nvram%20commit%3B%20sed%20-i%20's%2Fchannel%3D.*%2Fchannel%3D%5C%22debug%5C%22%2Fg'%20%2Fetc%2Finit.d%2Fdropbear%3B%20%2Fetc%2Finit.d%2Fdropbear%20start%3B
返回{"code":0}即代表成功,其实成不成功都会返回这个:)注意传参顺序及指令前后都要有一个分号,即%3B
如果返回401错误,原因可能是版本不正确或者<STOK>值错误或者链接输入不完整等,提示404错误,说明输入地址错误,请检查固件版本或链接地址...
建议一键注入后需等待一些时间,保证路由器后台能正确处理注入信息后再重启,
重启即可开启SSH,root密码请自行根据SN计算;不想计算的或不知道怎么计算的,可以看下一步1.2.3
1.2.3 更改管理员root密码 (可跳过)
root账号不想用初始密码的执行下面的代码改密码为admin,在浏览器地址栏中输入以下链接代码,注意替换掉<STOK>部分(有时stok值会发生改变,建议重新返回1.2.1步骤复制最新的stok值)
http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20echo%20-e%20'admin%5Cnadmin'%20%7C%20passwd%20root%3B
1.3 登录SSH
1.3.1 下载SSH软件
1.3.1.1 我使用的软件是MobaXterm 20.0,强烈建议
使用MobaXterm登录SSH会话界面,如图所示:
1.3.2 登录SSH
1.3.2.1 点击"会话"-"SSH"—“好的”;
1.3.2.2 "基本SSH设置"-"远程主机"-输入"192.168.31.1"-选中"指定用户名"复选框-输入"root";
1.3.2.3 其他设置可自行探索,设置完成后点击"好的";
Tips:温馨提示,在"高级SSH设置"-"SSH浏览器类型"-选择"SFTP协议"或"SCP协议",会在ssh会话左侧展开类似Windows资源管理器的界面,如上图所示,可用于路由器与电脑之间的文件交互。
1.3.2.4 在弹出的ssh会话中会显示"root@192.168.31.1's password: ",如果没有或显示其他错误,请检查上述步骤;
1.3.2.5 输入1.2.3中设置的密码"admin",注意此时你输入的内容是不显示的,输入完成后回车即可。
1.3.2.6 显示以下画面,表示登陆成功!
2.3.1 下载breed
文件名: breed-mt7621-xiaomi-r3g.bin
2.3.2 刷入不死Breed
2.3.2.1 上传下载好的breed-mt7621-xiaomi-r3g.bin 到/tmp
补充说明:只需找到tmp文件夹进入,然后上传下载好的不死breed-mt7621-xiaomi-r3g.bin
在tmp文件根目录下鼠标右键上传(PS:tmp目录里空白处鼠标右键会出现上传到*******,记住在tmp空白处才能出现上传到tmp根目录下)
2.3.2.2 SSH会话界面里复制黏贴下面的命令并回车
mtd -r write /tmp/breed-mt7621-xiaomi-r3g.bin Bootloader
2.3.2.3 等待路由器重启(当电脑获取到ip或者路由只有一个蓝灯亮时,breed引导官方固件成功)。
2.3.2.4 为防止变砖,强烈建议等待5分钟后拔电,用牙签按住reset键再插电,等蓝灯闪烁,松开reset键,浏览器访问192.168.1.1即可进入breedweb界面(用户名和密码都是admin)。
如果进不去请一定要确定你的网络连接里面的本地连接或无线网卡里面的IP和DNS是自动获取状态!(在自动获取状态下还进不去,就禁止下网卡然后再启用下)《网络连接(网络和共享中心)--鼠标右键属性--本地连接状态(无线网络连接状态)--属性--Internet协议版本4(TCP/IPv4))确保IP和DNS为自动获取状态,才能进入breedweb界面》。
首次进入breed记得先备份下编程器固件和eeprom,(也可以不下载,论坛都有备份好的,可略过。本人遇到过备份时网络中断,重启路由也进不去breedweb界面,最后发现清除浏览器cook等垃圾就能正常再进入了,我当时用的是360浏览器遇到这个问题后用的官方自带IE才进入的)
2.3.2.5 很重要的一步进入breedweb界面后先更改环境变量,编缉,新增字段"xiaomi.r3g.bootfw",值设置为2,然后保存。PS:新增的字段不包含双引号,如图。(否则刷入非原厂固件可能会出现刷入固件后重启指示灯不断蓝黑交替(无限重启)的现象)
2.3.2.6 至此,路由器成功刷入breed。
PS:有的固件默认进入后台的地址都是192.168.1.1,有的人肯定会问,那不和进入不死breedweb界面有冲突吗?答案是不会的,因为想进入breedweb界面必须按住reset键再插电,等蓝灯闪烁,松开reset键,浏览器访问192.168.1.1才能进入breedweb界面。
3 刷入固件
3.1 下载固件
Padavan(HIBOY)固件
以上固件地址复制到浏览器下载即可,上边的地址始终下载的都是最新版。
3.2 刷入固件
3.2.1 点击“固件更新”-勾选“固件”选择文件--选中后缀为trx的固件文件
3.2.2 选中复选框"自动重启"-点击上传
3.2.3 确认更新信息-点击"更新"-等待路由器重启即可。
3.3进入路由器后台
固件默认配置
固件网关:192.168.123.1
管理页面:http://my.router/
管理页面:http://192.168.123.1/
管理账号:admin
管理密码:admin
wifi密码:1234567890
刷机不恢复默认值。
网关账号及密码都可以自己再设置的。
以上就全部成功刷机完成!
刷回官方固件教程
刷回方法
1、进入breed
从breed界面“固件更新”-“Bootloader”处选择官方bootloader文件直接上传并更新确认。
蓝奏网盘下载相对应的东西。
2、详细步骤
使用须知:
小米路由器修复工具刷机使用步骤:
蓝奏网盘下载相对应的东西。
2、接通小米路由器电源,用网线连接电脑和路由器LAN口;
3、建议关闭杀毒软件后再打开小米路由器修复工具,选择本地上传刷机ROM包,或者电脑联网状态下云端选择刷机ROM包;
4、选择网卡:请选择与路由器LAN口相连的网卡;
(此步骤将使用管理员权限为用户更改网卡配置,以确保路由器和电脑处于同一局域网。关闭应用时会提醒并自动恢复网卡配置。)
5、网卡配置成功后,先断开路由器电源,然后按住Reset键再接通电源,直到橙灯闪烁松开Reset键;
6、等待大约3-5分钟,蓝灯闪烁表示刷机成功,需要断电重启路由器;
如果红灯闪烁表示刷机失败,请检查以上的刷机过程并重新进行刷机操作。
路由器指示灯状态说明
1. 蓝灯长亮:工作正常
2. 蓝灯闪烁:刷机成功(需要断电重启,注意路由断电后请等待10s以上再通电)
3. 橙灯长亮:正在启动
4. 橙灯闪烁:进入刷机流程或系统升级中(该过程不要断电)
5. 红灯长亮:系统故障
6. 红灯闪烁:刷机失败
/1 
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
发表于 2020-11-19 09:21
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡
