家里的以前的拓扑网络上是 光猫拨号,加一台原版 红米AC2100 路由器,一台刷了 Padavan 的新路由3,为了让 AC2100 实现弱信号剔除,决定为红米刷上 Breed 上 Padavan。网上有不少教程的,总体思路是 Windows 抓包之类获得 shell, 然而很多人都会卡在各种步骤上,比如我就卡在了抓包直接报错,根据网友提示对代码进行修改之后也一直卡在反弹shell粘贴不了命令。这个方法挺厉害的,但是获得路由器 shell 的过程也太复杂导致很多人没法刷成功。我折腾了一个下午都没有成功。想象我内心独白。
进入正题,如何让成功率暴增 100 倍为红米 AC2100 路由器刷机,这个方法不仅适用于红米路由器,还可以用在其他小米路由器上。首先感谢恩山的大佬,我也是刷失败了心情郁闷逛了逛恩山,偶遇大佬的文章,获得了新思路。
在旧方法中,无论是网线各种插法,改 ip 地址然后运行一键 telnet程序之类的,其本质是为了获得路由器的执行权限(shell),大佬利用程序抓取路由器拨向自己的号信息(WAN 口被接到 LAN 口),然后利用程序牛逼轰轰的获得了路由器的 shell(反弹窗口),从而让路由器执行了刷机命令。
新的方法,不需要复杂接线和改 ip ,弹窗之类的。
第一步:只要你能进去小米路由器的管理界面。把地址栏`http://192.168.31.1/cgi-bin/luci/;stok=xxxx/web/home#router`里 stok 后的信息拷贝下来,执行以下命令
第二部:以下两个地址替换掉 <STOK> 的值之后分别访问,执行成功后会看到 {"code":0}
http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20nvram%20set%20ssh_en%3D1%3B%20nvram%20commit%3B%20sed%20-i%20's%2Fchannel%3D.*%2Fchannel%3D%5C%22debug%5C%22%2Fg'%20%2Fetc%2Finit.d%2Fdropbear%3B%20%2Fetc%2Finit.d%2Fdropbear%20start%3B
这是一种利用漏洞直接获取 shell 权限的方法,然后路由器的密码就被设置成了 admin,
第四步:
先参考下大佬原先的刷入 breed 的命令:
wget http://192.168.31.177:8081/breed-mt7621-xiaomi-r3g.bin&&nvram set uart_en=1&&nvram set bootdelay=5&&nvram set flag_try_sys1_failed=1&&nvram commit
原来的大佬的方法是启动了一个简单的服务器程序来提供文件下载,用 wget 直接下载并执行刷机命令,
我这里分了两步,先用 scp 将文件 breed-mt7621-xiaomi-r3g.bin 拷贝到路由器的 /tmp 目录,其中192.168.31.1 是你的红米路由器地址,然后在红米路由器 shell 上执行后面的命令。
(Mac & Linux 用户)
scp ./breed-mt7621-xiaomi-r3g.bin root@192.168.31.1:/tmp/breed-mt7621-xiaomi-r3g.bin
(Windows 用户)Windows的话可以用 winscp 上传,我这个是 Linux,Mac 下的命令
在 WinSCP 下输入 IP 地址,账号密码登录后,直接图形化界面拷贝文件。
WinSCP 输入 IP 地址和账户信息,直接图形化操作拷贝文件
第五步: 执行完后,执行以下命令 (Windows 可以用 putty)
(Mac & Linux 用户)
ssh root@192.168.1.31
输入密码 admin,会进入到红米路由器的系统后台,显示的是 root@XiaoQiang:
(Windows 用户)
Putty 输入 IP 地址之后,打开,然后输入账号 root 密码 admin,成功后显示的是 root@XiaoQiang:
Putty 输入 IP 地址之后,打开然后账号 root 密码 admin,进入后输入的命令都一样
(所有用户)在新的命令窗口下执行以下命令刷入 breed
nvram set uart_en=1&&nvram set bootdelay=5&&nvram set flag_try_sys1_failed=1&&nvram commit
mtd -r write breed-mt7621-xiaomi-r3g.bin Bootloader
过程没有截图,这是获取后执行刷breed命令的图
这样 breed 就刷好了,
第六步:拔掉路由的电源,拿牙签顶住重置按钮不放, 插上电源, 10 秒后松开, 稍等一会访问 192.168.1.1 进入 Breed 管理界面。
第 7 步:选择 c 大的 padavan 版本固件,一键刷入。
c大的固件路由器主页是 192.168.2.1 密码 admin admin
享受。
全文完。
PS:
由于获取 Shell 利用的为路由器的漏洞,随着日后系统的更新,方法可能失效。但是目前红米最新的系统还是有这个漏洞的。这个漏洞在小米的其他路由器上也存在。具体可参见恩山大佬原文。
相关文件分享:
刷机相关文件:
链接: https://pan.baidu.com/s/1epjYhtLZf-AR_EhciDKbwQ 提取码: uwkk
WinSCP官网下载地址:https://winscp.net/download/WinSCP-5.17.8-Setup.exe
Putty 官网下载地址:https://the.earth.li/~sgtatham/putty/latest/w64/putty.exe
WinSCP 和 Putty 百度网盘:
链接: https://pan.baidu.com/s/11iKlCFvk9Ic6xmlfD8lT2A 提取码: rw8f
恩山大佬的原文:
AX3600/AX1800/AX5/AC2100官方固件开启SSH方法[原创]
https://www.right.com.cn/forum/thread-4032490-1-1.html
原来的方法参考:
B站 阿轰Ahon
红米路由器AC2100刷机教程:刷入breed教程
https://www.bilibili.com/video/BV1SA41147VL/
值友 木木滚滚
红米AC2100刷机Padavan固件全图解,超超超详细
https://post.smzdm.com/p/aoo85457/
转载请注明并附带原文链接。
发表回复
要发表评论,您必须先登录。