前言:
第一个这个是记录帖子,并不算是一个教程帖子,当然这里也包括了我所有的折腾记录,以及遇到一些问题时候如何解决的,所以如果需要同步解决一致性问题,请带着耐心看完,否则哪一步操作失误均可成砖。
第二个这里会较为详细记录了,编程器刷机的方式,其中包括了,超级账号,SSH权限等固化问题,以及现在市面我所能了解到的一些固件带来的优缺点,极其各种需要注意的点(指代刷机等操作权限,其实际对机器稳定性不做测试)
第三个帖子里面所涉到的操作均是在其他大佬的基础上引用而来,我在下发均会标注其原创来源。
第四个这里的操作可能会操作损坏您的机器,请仔细小心操作,若带来损坏自行负责。
若以上您不认可,请直接X掉此窗口,
我们先从最粗暴的刷机方式说起:编程器大法
1、需要的工具:ch341a,1.8v转接板 、一双会飞线大法的双手
看就是这样飞好线
然后组装完毕,就是这样的一个状态了,插入电脑,使用SNANDer编程器来操作,SNANDer的驱动安装时候需要把ch341a的驱动卸载调用,使用他自带的驱动安装软件来安装,具体使用细则可以参考@Alangoa的关于:CH341A软件更新及刷入NAND-SPI详细教程
操作:下载SNANDer后解压,在目录上输入cmd,回车运行,出现小黑框内输入:
SNANDer_x86.exe -i 检查编程器连接是否正常识别,效果如下
正常识别之后,如果你的机器是原厂固件,如果是非原厂固件,这一步可考虑直接跳过,若此前没刷过大分区和UBOOT的,只刷过集客这一步骤也可以进行操作,请您不要吝啬这一步操作,因为这一步可以解决你以后带来的种种不便
操作:在CMD的黑框内输入:
SNANDer_x86.exe -d -r plc_rax3000qy_1.bin 等待1200秒,你的文件目录就会出现一个名为( plc_rax3000qy_1.bin )文件,这是你这台设备的原厂编程器固件备份(正常执行一次即可,但是确保备份的可靠性,请执行在执行一次)
SNANDer_x86.exe -d -r plc_rax3000qy_2.bin 等上面执行完毕之后,将两个备份出来的文件,使用二进制对比软件(BCompare)对比,如果一样,则表示你备份成功了,如果不一样请自行排错,在备份一次,他可以解决你之后带来的种种问题
操作:擦除闪存上的数据,在CMD执行下发命令,大概5秒即可完成
SNANDer_x86.exe -d -e
操作:写入编程器固件
第一种:写入编程器固件后,自动执行校验(等待时间1200秒)(无经验者推荐)
SNANDer_x86.exe -d -v -w 固件名字 假设固件名为:old_rax3000.bin
SNANDer_x86.exe -d -v -w old_rax3000.bin
第二种:写入编程器固件后,不自动执行校验(等待时间1200秒)(有经验者推荐)
SNANDer_x86.exe -d -w 固件名字 假设固件名为:old_rax3000.bin
SNANDer_x86.exe -d -w old_rax3000.bin
执行结束(ps:做自动校验,结束后是有两个ok的,会有两个1200秒左右的提示)
恭喜你,当你看到这个OK的时候,不出意外你的机器,可以正常开机了
到了这里那么我们就来说说各个编程器固件的缺点和优点
1、如果你使用的是自己的原厂编程器固件,那么恭喜你的mac和sn串是匹配的,你可以随便参考下方我要介绍的提权免拆SSH的方法了,总有一种适合你。
2、如果你使用的是我的提供的编程器固件,那么请好好听说我说,下发每一种固件的缺陷极好处
第一种:原厂固件old_rax3000_1.bin
他是原厂备份固件,无任何修改的,其包含的信息有
mac:7C:6A:60:34:18:40,串:081109322404416 111057632404416
2.4G:SSID:eh4a,5GSSID:111 密码:5393ACCC,后台密码:519$ABBB
优点:原厂mesh组网,缺陷:无法使用最简单的提权破解SSH功能,无超级账号,无luci,可玩性极差,仅仅适合救砖使用
第二种:固化ssh_固件日期220106_rax3000.bin
他是基于上方第一种固件,进行提权后,固化了ssh的编程器固件
优点:原厂mesh组网,支持添加超级账号,包含信息参考上方,其原厂编译时间是:22年0106,可以直接进入免密SSH后台,root用户
第三种:rax3000_0414 - 副本.bin
他是基于上方第一种固件,进行提权后,固化了ssh的编程器固件
优点:原厂mesh组网,支持添加超级账号,包含信息参考上方,其原厂编译时间是:22年0414,可以直接进入免密SSH后台,root用户
第四种:rax3000q_factory_old - 副本.bin
他是基于上方第一种固件,恢复了原厂固件ubi的
优点:原厂mesh组网,无ssh权限,但是自带超级账号,支持最简单的提权获取ssh,luci
他们共同的好处就是都拿来就转,其缺陷也尤为明显,就是mac其实是固定的,也就是说你拥有多台设备的时候,都想恢复原厂
均会存在一个问题mac冲突的问题,就是你无法mesh组网,除非你拥有不同mac的原厂固件备份
那么多固件如何选择呢?如果你是一个大神,那么你可以拿第一个固件作为底子使用二进制软件修改mac,
然后刷回去就可以可以了,我也试了,但是我改完之后,刷进去,每次重置之后ssid密码均会重置,后台密码,也就是每一次都是不一样的,后台都无法进入,可能是我修改的不对的问题导致的
第二,第三种固件也是如此,但是好处在于改了mac之后,可以直接ssh,使用:mdlcfg -e 也就是可以直接看到配置信息,这里就包括了,所有的配置信息
所以重点来来了:123种固件,若通过二进制软件修改mac之后,刷入之后会直接重置一次信息,之后无法对设备进行恢复出厂,否则无法进入后台,除非你可以得到他的密码算法。
第四种固件,也有上述的缺点,改mac之后每次恢复出厂会重置信息,但是好处在于他自带超级账号(用户名:superadmin 密码:83583000)
可以直接进入后台,直接看到密码信息,和重置密码和后台密码,可以进行简易提权进去ssh
第二种:TTL大法刷机(简单概述)
接好TTL,插入电脑,插入电源 按回车,中断(这里可能部分机器无法中断,具体原因不详,但是无关3.3v或者1.8v的ttl问题,我都有,无法中断的机器就是无法中断)
刷机操作:架设好tftpd服务器,网段192.168.10.0/24,网上到处都是资料,就不说了。
接上ttl ,波特率115200,(8-1-无-无)。
- setenv serverip 192.168.10.2 <-(你的tftpd服务器地址,本机为10.10,需要改网段的自己改)
- tftpboot 0x44000000 mtd17.bin <-(文件名)
(返回的文件大小) - flash rootfs 0x44000000 0x3040000 <-(上面那个文件大小)
简单概述了,具体请参考论坛内的其他操作帖子,以上内容引用至@leo357449107 的和目 cmiot-ax18 dts 及 qsdk中设计到的操作内容
下面介绍一下提权ssh的问题了
第一种简单提权,可以直接参考@noel902217 的 中国移动RAX3000Q最简单解锁telnet/ssh,持久化超级管理员账号方法
他这个方法适用的核心在于,你进入路由器后台之后,点诊断-ping-里面的循环次数是10的这种原厂固件,可以直接使用他的这个办法,进行简单提权获取ssh
第二种复杂提权,是参考了@kevin Williams (最新)中移RAX3000Q路由器破解shell教程
但是他是文本叙述加gif,而且存在一些操作盲点,所以我复述一下,和一些自己踩坑的地方
他的方法适用于进入路由器后台后,点诊断-ping,循环次数是4时候这种原厂固件
需要使用到的工具:Reqable(下载地址) 和 NetCat(安装方法)
和一台手机,安卓或者IOS均可,在商定安装手机版的Reqable 并且完成证书的安装,这里按他提示操作即可
操作开始,第一步,打开电脑的Reqable,点左上,显示你电脑ip的右边有个手机的图标,用你的手机扫描连接上,你就会看到如下的界面
然后手机打开浏览器,输入192.168.10.1,进入路由器登录后台,登录进去,你就会在电脑的Reqable看到一个带有/item/login的抓包信息,按下发图片右键操作
添加修改响应的规则
评论已关闭