小米AX6000 SSH破解踩坑记录（最全）

fred.feng

1破解所需设备

一台Openwrt路由器(我所用为MT7628的Openwrt Firmware)，简称HUB

一台笔记本电脑（自带无线网卡）、一台小米AX6000、一根网线

实拍图如下：

2 破解原理

将HUB作为配置成Openwrt SSH服务器，小米AX6000通过笔记本连接到HUB服务器后自动运行HUB服务器里的脚本xqsystem.lua开启SSH端口。

3 破解步骤

（1）Openwrt路由器以下简称HUB，HUB默认IP地址为192.168.1.1

（2）笔记本本地有线网卡设置三个IP地址：

192.168.1.22   用于登陆HUB网页后变更网关IP，DHCP, WIFI参数配置

169.254.31.2   用于HUB变更网关IP后登陆网页后台查看配置参数用

192.168.31.1   用于登陆XIAOMI-AX6000网页后台用

（3）登陆HUB网页后台，变更路由器网关IP为169.254.31.1，同时关闭DHCP

     设置HUB网关登陆密码为12345678

更改WIFI配置为11n模式-CH11

这里HUB配置就完事了。

访问网址：http://169.254.31.1/cgi-bin/luci/api/xqsystem/token

出现下图说明已经将HUB成功配置为SSH服务器了

如果显示出错，请按如下步骤操作

下载SCP工具并安装，SCP安装包和Putty.exe附件如下

Putty放置路径需要手动设置为：C:\Program Files (x86)\PuTTY

不然打不开PUTTY.exe

将如下两个文件分别放置到如下路径

然后打开Putty

键入密码：12345678（前面设置的网关登陆密码）

键入命令 sh /root/wireless.sh 运行脚本wireless.sh，每次破解时都需要运行一遍。

再次点击访问网址：http://169.254.31.1/cgi-bin/luci/api/xqsystem/token就可以成功了。

到此,将HUB设置为SSH服务器的工作就完成了。断开笔记本与HUB的网线连接。

4 XIAOMI-AX6000破解步骤

上电小米AX6000,选择“DHCP自动获取方式”，设置登陆密码为：12345678

进入网页后台选择固件升级，将固件版本降级到1.0.41，等待小米AX6000指示灯重新变白色以后说明降版本并重启完成（升级过程中不可断电，不然可能导致无法启动）

重新登陆小米网页192.168.31.1，键入密码：12345678  如下图

复制当前页的stok序列，这个序列是会更新的，更新频率是AX6000的网页后台的有效停留时间。

复制如下代码到网页栏

http://192.168.31.1/cgi-bin/luci/;stok=05f18fc74244d28dea39a5b537765e92/api/xqsystem/extendwifi_connect_inited_router?ssid=OpenWrt&password=12345678&encryption=WPA2PSKenctype=CCMP&channel=11&band=2g&admin_username=root&admin_password=admin&admin_nonce=xxx

将stok序列号替换成上面复制过的小米AX6000网页的序列号，『回车』，正常情况下，会出现如下图，说明破解成功了

PS: 这是我第二次破解成功的截图，第一次破解成功的时候AES位置为CCMP，因为破解成功后自动变更为AES，所以第二次破解的时候变更这个就行了。

解释如下,可以配置不一样，对应修改即可，但是信道建议设置成固定的：

05f18fc74244d28dea39a5b537765e92  stok序列

OpenWrt    HUB WIFI SSID

12345678   HUB WIFI接入密码

WPA2PSK    WIFI加密算法

CCMP       WIFI加密类型

11          wifi工作信道

root         网页登陆账号

admin       网页登陆密码

破解成功后，点击https://www.oxygen7.cn/miwifi/ 填入SN序列号，自动生成的就是小米AX6000的SSH密码，因为SN是唯一的，所以这个密码是唯一的，每台AX6000通过这种方法破解生成的SSH密码都是唯一的。

破解成功后就可以在SCP里登陆AX6000的SSH了，如下图

同样方法命令>在putty中打开，键入SSH密码就可以登入AX6000了

双击tab显示支持的所有命令

键入如下命令可以看到射频校准数据boarddata.bin

将BDF导出，再使用BDF编辑工具nvdata_IPQ5018.xlsm可以编辑参数后，导入导出BDF

可以看到目标功率的配置，修改目标功率后再导出，替换到板子里，就可以修改无线输出功率了，输出功率越大，覆盖范围越大，输出功率降低，近距离吞吐性能会有优化。

5 AX6000破解成功后的踩坑

在没有获取所有权限的情况下，可以通过SSH登陆，查看，替换文件，修改配置。

破解SSH成功，但是Telnet/UART依然是不可用的,射频测试端口也不可用，不能使用QDART发包。

以下是已经踩坑的操作，会导致AX6000恢复出厂设置。

键入：reboot  这条命令会导致破解工作付之东流，恢复出厂设置

多次键入：中文字符，会导致系统崩溃，路由器无法启动，需要下掉FLASH重新烧录固件，重新破解。

wuzhengtai

这个CPU不是挺弱的 有那个必要吗？好好的让他当AP吧！

zx5385313

我看不懂啊 膜拜大佬

fred.feng

wuzhengtai 发表于 2022-5-12 15:01
这个CPU不是挺弱的 有那个必要吗？好好的让他当AP吧！

但是它发热厉害，还内存泄漏啊，主推方案

fred.feng

zx5385313 发表于 2022-5-12 15:25
我看不懂啊 膜拜大佬

哪点看不懂

霍森布鲁茨老爷

这个厉害了

quakewzq

收藏一下，感觉很详细

傲寒六诀

感觉挺厉害

suojxc

讲解比较详细，备下所需设备再说

fred.feng

用此方法破解后，串口也能键入命令了，也不知道咋回事，哈哈哈

╩华夏の鹰╩

中间的笔记本 为什么要无线连OP的路由??不是ax6000无线直接连 op路由器就可以了么

tanghengvip

请教下楼主，红米AX6000也是同理吗？

fred.feng

tanghengvip 发表于 2022-6-2 10:31
请教下楼主，红米AX6000也是同理吗？

自己动手，丰衣足食

leonyuze

大佬 为什么我刷入OPENWRT 它说 can not open “/dev/mtd13” 我换成其他区mtd12  14  时候又说 刷入的包体太大  可是我用的包体最小14MB啊

Kings6666

留言改天来研究研究