红米(小米)AC2100刷Breed和Padan固件教程及刷回官方教程

wifi之路
wifi之路
wifi之路
50
文章
11
评论
2020年11月15日04:13:58 6 2,119

原帖地址:https://www.right.com.cn/forum/thread-4059522-1-1.html

 

TIPS1:进行教程操作前,请尽量使用网线与路由器连接,否则可能无法进行部分操作。正常情况是无需设置电脑防火墙和关闭杀毒软件的,但保险起见还是关闭防火墙和杀毒软件,不然刷成砖就后悔了!



TIPS2:教程中涉及文件存储和操作的所有路径和命令,请保证为全英文路径和命令(不得使用中文字符),使用中文路径可能出现未知错误,导致刷机失败!

PS:此教程是恩山论坛a76yyyy大神所写,本人精简了一些步骤,图补很多文字及一些地方的说明,更详细也更加方便大家刷机。

 

教程如下

 

本帖隐藏的内容

1 官方固件利用Web注入漏洞开启SSH

1.1 更换至漏洞官方固件版本

1.1.1 下载固件

有漏洞固件版本为:AC2100 2.0.7*版本

官方下载链接:

红米RM2100:

http://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/rm2100/miwifi_rm2100_firmware_d6234_2.0.7.bin

小米R2100:

http://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/r2100/miwifi_r2100_firmware_4b519_2.0.722.bin

蓝奏网链接: https://wwa.lanzous.com/b0cqo6vuf ,其中 miwifi_rm2100开头的是红米的,miwifi_r2100开头的是小米的。

 

1.1.2 更换固件

在管理页面降级到对应版本,进行初步设置,可以先关掉自动升级或不接外网防止自动升级到最新版本。

 

1.2 漏洞利用(漏洞原理:略)

1.2.1 使用管理密码登录管理页面

管理页面登录后地址栏链接应为:

http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/web/home#router

PS: 和小白同学解释下,<STOK>是代表你登录后自动生成的那一长串数据,每个人都不一样,用于替换下一步中的链接中部分。

比如替换后为

http://192.168.31.1/cgi-bin/luci/;stok=s22093t482bunf26374y5265/web/home#router

s22093t482bunf26374y5265 就是获取到的<STOK>的值

 

1.2.2 一步到位漏洞注入

在浏览器地址栏中输入以下链接代码,注意替换掉<STOK>部分,否则无效:

http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20nvram%20set%20ssh_en%3D1%3B%20nvram%20commit%3B%20sed%20-i%20's%2Fchannel%3D.*%2Fchannel%3D%5C%22debug%5C%22%2Fg'%20%2Fetc%2Finit.d%2Fdropbear%3B%20%2Fetc%2Finit.d%2Fdropbear%20start%3B

返回{"code":0}即代表成功,其实成不成功都会返回这个:)注意传参顺序及指令前后都要有一个分号,即%3B

如果返回401错误,原因可能是版本不正确或者<STOK>值错误或者链接输入不完整等,提示404错误,说明输入地址错误,请检查固件版本或链接地址...

 

1.2.3 更改管理员root密码 

root账号不想用初始密码的执行下面的代码改密码为admin,在浏览器地址栏中输入以下链接代码,注意替换掉<STOK>部分(有时stok值会发生改变,建议重新返回1.2.1步骤复制最新的stok值)

http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20echo%20-e%20'admin%5Cnadmin'%20%7C%20passwd%20root%3B

建议一键注入后需等待一些时间,保证路由器后台能正确处理注入信息后再重启

 

 

1.3 登录SSH

1.3.1 下载SSH软件

1.3.1.1 我使用的软件是MobaXterm 20.0,强烈建议

蓝奏网下载链接: https://wwa.lanzous.com/b0cqo6vuf

使用MobaXterm登录SSH会话界面,如图所示

红米(小米)AC2100刷Breed和Padan固件教程及刷回官方教程

1.3.2 登录SSH

红米(小米)AC2100刷Breed和Padan固件教程及刷回官方教程

1.3.2.1 点击"会话"-"SSH"—“好的”;

红米(小米)AC2100刷Breed和Padan固件教程及刷回官方教程

1.3.2.2 "基本SSH设置"-"远程主机"-输入"192.168.31.1"-选中"指定用户名"复选框-输入"root";

1.3.2.3 其他设置可自行探索,设置完成后点击"好的";

Tips:温馨提示,在"高级SSH设置"-"SSH浏览器类型"-选择"SFTP协议"或"SCP协议",会在ssh会话左侧展开类似Windows资源管理器的界面,如上图所示,可用于路由器与电脑之间的文件交互。

1.3.2.4 在弹出的ssh会话中会显示"root@192.168.31.1's password: ",如果没有或显示其他错误,请检查上述步骤;

1.3.2.5 输入1.2.3中设置的密码"admin",注意此时你输入的内容是不显示的,输入完成后回车即可

1.3.2.6 显示以下画面,表示登陆成功!

红米(小米)AC2100刷Breed和Padan固件教程及刷回官方教程

 

1.3.2.6 查看闪存品牌和坏块

dmesg | grep NAND
dmesg | grep '[B|b]ad.*block'       
dmesg | grep eraseblock

执行完成后会有以下几种情况:
1.3.2.6.1 执行指令没有返回任何信息,翻日志也没找到任何闪存相关信息,重启下路由再找一次。
1.3.2.6.2 执行后返回信息中有ESMT字样,翻日志也没有显示坏块信息的是ESMT闪存,没有检测到坏块。
1.3.2.6.3 较为正常东芝闪存返回信息:坏块768。但刷固件一切正常。
1.3.2.6.4 是东芝闪存而且有问题的路由返回信息如图,坏块90+768,根据调查“90”这个数字还有其他值,推测跟东芝闪存体质有关。
红米(小米)AC2100刷Breed和Padan固件教程及刷回官方教程

 

2.3 刷入breed(参考自恩山教程)

2.3.1 下载breed

文件名: breed-mt7621-xiaomi-r3g.bin

H大链接(建议): https://breed.hackpascal.net/breed-mt7621-xiaomi-r3g.bin

蓝奏网下载链接: https://wwa.lanzous.com/b0cqo6vuf

 

2.3.2 刷入不死Breed

如果你不想上传文件可以直接下载

在ssh界面:

进入tmp目录

cd /tmp

下载breed

wget https://breed.hackpascal.net/breed-mt7621-xiaomi-r3g.bin

有老哥反馈wget无法下载,那么请试试下面这个命令下载

curl -O https://breed.hackpascal.net/breed-mt7621-xiaomi-r3g.bin

如果想上传文件请看这个:

红米(小米)AC2100刷Breed和Padan固件教程及刷回官方教程

2.3.2.1 上传下载好的breed-mt7621-xiaomi-r3g.bin 到/tmp

补充说明:只需找到tmp文件夹进入,然后上传下载好的不死breed-mt7621-xiaomi-r3g.bin

在tmp文件根目录下鼠标右键上传(PS:tmp目录里空白处鼠标右键会出现上传到*******,记住在tmp空白处才能出现上传到tmp根目录下)

 

2.3.2.2 SSH会话界面里复制黏贴下面的命令并回车

 

mtd -r write /tmp/breed-mt7621-xiaomi-r3g.bin Bootloader

 

2.3.2.3 等待路由器重启(当电脑获取到ip或者路由只有一个蓝灯亮时,breed引导官方固件成功)。

2.3.2.4 为防止变砖,强烈建议等待5分钟后拔电,用牙签按住reset键再插电,等蓝灯闪烁,松开reset键,浏览器访问192.168.1.1即可进入breedweb界面(用户名和密码都是admin)。

如果进不去请一定要确定你的网络连接里面的本地连接或无线网卡里面的IP和DNS是自动获取状态!(在自动获取状态下还进不去,就禁止下网卡然后再启用下)《网络连接(网络和共享中心)--鼠标右键属性--本地连接状态(无线网络连接状态)--属性--Internet协议版本4(TCP/IPv4))确保IP和DNS为自动获取状态,才能进入breedweb界面》。

首次进入breed记得先备份下编程器固件和eeprom,(也可以不下载,论坛都有备份好的,可略过。本人遇到过备份时网络中断,重启路由也进不去breedweb界面,最后发现清除浏览器cook等垃圾就能正常再进入了,我当时用的是360浏览器遇到这个问题后用的官方自带IE才进入的

红米(小米)AC2100刷Breed和Padan固件教程及刷回官方教程

2.3.2.5 很重要的一步进入breedweb界面后先更改环境变量,编缉,新增字段"xiaomi.r3g.bootfw",值设置为2然后保存。PS:新增的字段不包含双引号,如图。(否则刷入非原厂固件可能会出现刷入固件后重启指示灯不断蓝黑交替(无限重启)的现象)

2.3.2.6 至此,路由器成功刷入breed。

PS:有的固件默认进入后台的地址都是192.168.1.1,有的人肯定会问,那不和进入不死breedweb界面有冲突吗?答案是不会的,因为想进入breedweb界面必须按住reset键再插电,等蓝灯闪烁,松开reset键,浏览器访问192.168.1.1才能进入breedweb界面。

 

3 刷入固件

3.1 下载固件

Padavan(HIBOY)固件

红米ac2100:http://opt.cn2qq.com/padavan/RM2100_3.4.3.9-099.trx

小米ac2100:http://opt.cn2qq.com/padavan/R2100_3.4.3.9-099.trx

以上固件地址复制到浏览器下载即可,上边的地址始终下载的都是最新版。

分享给大家H大的固件更新地址:https://opt.cn2qq.com/padavan/

旧文件地址:https://opt.cn2qq.com/%E6%97%A7%E6%96%87%E4%BB%B6/

 

3.2 刷入固件

红米(小米)AC2100刷Breed和Padan固件教程及刷回官方教程

3.2.1 点击“固件更新”-勾选“固件”选择文件--选中后缀为trx的固件文件

3.2.2 选中复选框"自动重启"-点击上传

3.2.3 确认更新信息-点击"更新"-等待路由器重启即可。

 

3.3进入路由器后台

固件默认配置

固件网关:192.168.123.1

管理页面:http://my.router/

管理页面:http://192.168.123.1/

管理账号:admin

管理密码:admin

wifi密码:1234567890

刷机不恢复默认值。

网关账号及密码都可以自己再设置的。

以上就全部成功刷机完成

 

 

 

 

刷回官方固件教程

刷回方法

1、进入breed  
从breed界面“固件更新”-“Bootloader”处选择官方bootloader文件直接上传并更新确认。

蓝奏网盘下载相对应的东西。

红米AC2100:https://wwa.lanzous.com/b0cqo74mb

小米AC2100:https://wwa.lanzous.com/b0cqo74la
注:红米用bootloader-redmi-ac2100.bin
小米用bootloader-xiaomi-ac2100.bin

路由重启后用官方救砖工具可刷回原厂。具体步骤和资源请参考也可以看下面的详细步骤:

小米路由官方救砖工具使用说明 https://www.xiaomi.cn/post/5289432 。

小米路由官方资源下载首页 http://miwifi.com/miwifi_download.html 。

 

2、详细步骤

使用须知:

小米路由器修复工具刷机使用步骤:

蓝奏网盘下载相对应的东西。

红米AC2100:https://wwa.lanzous.com/b0cqo74mb

小米AC2100:https://wwa.lanzous.com/b0cqo74la

2、接通小米路由器电源,用网线连接电脑和路由器LAN口;

3、建议关闭杀毒软件后再打开小米路由器修复工具,选择本地上传刷机ROM包,或者电脑联网状态下云端选择刷机ROM包;

4、选择网卡:请选择与路由器LAN口相连的网卡;

(此步骤将使用管理员权限为用户更改网卡配置,以确保路由器和电脑处于同一局域网。关闭应用时会提醒并自动恢复网卡配置。)

5、网卡配置成功后,先断开路由器电源,然后按住Reset键再接通电源,直到橙灯闪烁松开Reset键;

6、等待大约3-5分钟,蓝灯闪烁表示刷机成功,需要断电重启路由器;

如果红灯闪烁表示刷机失败,请检查以上的刷机过程并重新进行刷机操作。

路由器指示灯状态说明

  1. 蓝灯长亮:工作正常
  1. 蓝灯闪烁:刷机成功(需要断电重启,注意路由断电后请等待10s以上再通电)
  1. 橙灯长亮:正在启动
  1. 橙灯闪烁:进入刷机流程或系统升级中(该过程不要断电)
  1. 红灯长亮:系统故障
  1. 红灯闪烁:刷机失败
wifi之路
  • 本文由 发表于 2020年11月15日04:13:58
  • 转载请务必保留本文链接:https://www.wifilu.com/7.html
资料归档

小米/红米AC2100 OPENWRT固件

这是hfy166大佬编译的openwrt固件适用于小米/红米AC2100 刷机教程请参考:小米/红米AC2100刷OPENWRT(使用breed刷) 固件特性: 基于Lede的源码编译,不含任何后门,...
教程应用

局域网测速环境搭建——iPerf3篇

这篇文章主要来简单写写局域网里怎么测速,比如日常换了个新路由想要测试一下无线性能和覆盖之类的情况,又或者组了一台NAS想测试网络传输是否达标等等。 外网测速这一块,市面上的各类软件已经是数不清了,最有...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

评论:6   其中:访客  5   博主  1
    • 小赵 小赵 0

      给你点赞

      • husdota husdota 1

        用这个方法岂不是不需要电脑了…

          • wifilu wifilu

            @ husdota 解锁的话不需要

          • wifilu wifilu

            解锁的话不需要

            • husdota husdota 0

              wget: not an http or ftp url: https://breed.hackpascal.net/breed-mt7621-xiaomi-r3g.bin请问出现这个怎么解决…

                • admin admin

                  @ husdota 检查下有没有什么空格之类的