小米AX6000 获取SSH权限

大怨种如我买了AX6000，要啥啥没有，装啥啥不行，拿个SSH权限也是千难万难，此处记录下实现步骤

环境

• AX6000 路由器
• vmware
  用来安装模拟openwrt系统，作为破解中继路由器
• 手机一台或2台笔记本电脑
  主要是其中一台电脑模拟openwrt，另一台设备用来访问这台模拟出来的openwrt路由器

资料

链接：https://share.weiyun.com/v2Bj59od 密码：s3bdfp

步骤

此处将安装虚拟OpenWrt系统的笔记本称为A，另一台笔记本称为B专门用来设置OpenWrt网络信息

1.虚拟 openwrt 系统安装

安装vmware，软件破解密钥自行百度

设置vmware的网络信息，将桥接模式下的网卡变更为A笔记本所属热点的虚拟网卡

修改openwrt所在虚拟系统的网卡设置，选择桥接模式，并选中 vmware 0

以上步骤就相当于为虚拟路由绑定了一块物理无线网卡，为后续设置网络环境做准备

2.设置本机及虚拟机网络环境

• 第一步，开启本机热点，并设置热点信息为 OpenWrt/12345678
• 第二步，设置热点所属的虚拟网卡固定ip为 192.168.5.2/255.255.255.0
• 第三步，B笔记本链接OpenWrt热点，并将Wlan网卡的IP设置为静态IP 192.168.5.5/255.255.255.0
• 第四步，B笔记本浏览器访问 192.168.5.1，用户名：root 密码：password
• 第五步，进入openwrt的管理界面后，设置lan口ip为169.254.31.1
• 第六步，往下拉，高级设置，去掉勾选 DHCP的相关选项，基本设置，去掉 DHCP 勾选
• 第七步，以上步骤设置完毕后，B笔记本无法再访问openwrt系统，因为openwrt的IP已经变成了 169.254.31.1，此时我们需要重复2，3步，将IP替换为 169.254.31开头即可，再次访问169.254.31.1 就又能访问openwrt了
• 第八步 WinSCP上传“xqsystem.lua”到OpenWrt的目录：/usr/lib/lua/luci/controller/admin/，ip 169.254.31.1,帐号/密码：root/password
• 上传完毕后，移除A笔记本热点所属虚拟网卡的IPV4设置，直接去掉勾选即可

以上步骤其实主要是在配置破解ax6000ssh需要用到的中继路由环境，一旦环境配置完成，后续破解就只需要一条命令即可

3.AX6000 降级

只有固定的几个路由器固件版本存在能开ssh的后面，具体见共享资料

固件降级

常用设置=》系统状态=》手动升级=》选中固件=》等待重启

执行破解命令

http://192.168.31.1/cgi-bin/luci/;stok=你的小米路由器stok/api/xqsystem/extendwifi_connect_inited_router?ssid=OpenWrt&password=12345678&encryption=WPA2PSKenctype=CCMP&channel=1&band=2g&admin_username=root&admin_password=admin&admin_nonce=xxx

stok值可以通过 192.168.1.31 进入小米路由器管理后台后，从浏览器地址输入栏中找到(PS:该值每次进入路由器后台后会变)

执行完毕后，会返回 {……,”code”:0},此时表示ssh，开启成功

获取默认root登录密码

密码主要由路由器的sn编号计算得出，sn编号可以从路由器底部铭牌或路由器管理后台首页的右下角看到

永久开启ssh

主要通过脚本实现，期间会重启多次，需要反复上传脚本至 路由器 /tmp 目录

备份

cat /proc/mtd | grep bdata

根据返回的结果判定bdata分区所在，比如mtd9

之后运行如下命令，注意将/dev/mtd9中的mtd9换成你实际查看到的mtd分区名

nanddump -f /tmp/bdata.img /dev/mtd9

运行成功后用winscp下载到电脑上备份好（以防万一）

执行脚本，注意每次执行前都需要通过scp将mitool目录上传至路由器 /tmp 目录

• 首次，上传mitool

chmod +x /tmp/mitool/* && /tmp/mitool/mitool.sh unlock

• 第二次，上传mitool

chmod +x /tmp/mitool/* && /tmp/mitool/mitool.sh sn && /tmp/mitool/mitool.sh hack

• 第三次，上传mitool

chmod +x /tmp/mitool/* && /tmp/mitool/mitool.sh lock

如升级后ssh被禁用可以用telnet登录，执行下面代码再次启用ssh

sed -i 's/channel=.*/channel="debug"/g' /etc/init.d/dropbear 

/etc/init.d/dropbear start

至此基本可以保证机器长期拥有root权限

其他：
如遇SN号丢失，可以重新上传文件夹后使用以下命令还原

chmod +x /tmp/mitool/mitool.sh && /tmp/mitool/mitool.sh setsn xxxxxx #将此次内容替换为之前记录的sn号

如需恢复bdata分区，可以使用以下命令恢复

mtd write /tmp/bdata.img bdata #注意将文件名bdata.img替换为你实际备份的文件名