本帖最后由 noel902217 于 2022-9-9 13:53 编辑
首先感谢大佬发现shell注入方式,为后续的一切提供了可能
中国移动RAX3000Q解锁telnet/ssh+内置的OpenWrt——可能是目前最好搞机的ipq50xx
同时本文的一些方法还借鉴了大佬博客文章下的评论区网友给出的方案
--------------------本方法不需要使用反弹shell,所以敢说是最简单的方法!--------------------
本文基于软件版本:V1.1.1.202204141725,硬件版本 TZ7.823.346A 的中国移动 RAX3000Q 路由器
关于软件版本,如果你只有admin账号,在后台看到的是V1.0,使用超级管理员登录才能看到真实的软件版本
这个版本的路由不仅删掉了 luci,每次重启之后还会删掉超级管理员账号,很恶心!
给不想折腾的用户有一些高级功能在前端不展示,但是登录后台之后直接访问相应链接即可使用 - http://192.168.10.1/#/home/diagnosis/tcpdump(远程抓包设置)
- http://192.168.10.1/#/home/diagnosis/packetcapture(抓包设置)
- http://192.168.10.1/#/home/network/tr069(Tr069远程下发设置)
- http://192.168.10.1/#/home/network/fotaSetting(和苗FOTA设置)(重启后失效)
- http://192.168.10.1/#/home/network/andLink(andlink设置)
- http://192.168.10.1/#/home/network/routeList(静态路由)</span>
复制代码
我是把 ANDLINK、FOTA 和 TR069 服务都关闭了
下面干货来了
- 删除 root 密码
- 在web面板「诊断 - ping」页面的ip地址输入框填入以下内容后点击开始(页面没有反应,不过不用担心,执行了就行):
$(passwd${IFS}-d${IFS}root)
- 开启 ssh 服务
- ping 输入框有长度限制且不能输入空格,我们这里使用 ${IFS} 替换空格,下面命令表示在22端口启动 dropbear ssh 服务
- 在web面板「诊断 - ping」页面的ip地址输入框填入以下内容后点击开始:
$(dropbear${IFS}-p${IFS}22)
- 通过 ssh 连接路由
- 此时的 ssh 运行在 22 端口
ssh -p 22 root@172.16.2.204 - 因为我的路由器是桥接模式,所以这里需要注意的是,ssh服务的IP是 172.16 网段的(可以通过admin登录路由器后台查看:主页 ——> LAN IP),而不是 192.168.10.1 这个路由器管理后台,我被这个东西卡了好久。登录后记得用passwd修改root账号密码
- 非桥接模式就是 192.168.10.1
- 更改 dropbear (ssh服务)配置并设置自启
- 编辑 dropbear 配置文件 vi /etc/config/dropbear
- 改为下面这个样子,只是修改端口和 enable 值,关于vi的使用自己百度一下吧
- config dropbear
- option PasswordAuth 'on'
- option RootPasswordAuth 'on'
- option Port '22'
- option enable '1'
复制代码
打开 dropbear 开机启动:
- /etc/init.d/dropbear enable
复制代码
持久化超级管理员账号(我被坑了好几小时) 杀千刀的程序员写了一个脚本,开机后清除超级管理员账号,关键是优先级比较低,把我写的开机运行脚本都覆盖了,一直以为是我的方法没生效 - 添加超级管理员账号(ssh登录后执行以下命令)
添加超级管理员用户: mdlcfg -a SYS_SUPER_LOGIN_NAME="superadmin"
添加管理员密码: mdlcfg -a SYS_SUPER_LOGIN_PWD="83583000"
账户密码都是可以自己设置的,不固定。此时你已经可以用设置的超管账号登录路由器后台了 - 修改开机自动运行脚本 vi /etc/init.d/tz_process_start
这里要修改的主要有两处,首先是最后一段 - super_login_name=$(mdlcfg -g SYS_SUPER_LOGIN_NAME)
- if [ -n "$super_login_name" ]; then
- mdlcfg -d SYS_SUPER_LOGIN_NAME
- mdlcfg -d SYS_SUPER_LOGIN_PWD
- mdlcfg -d SYS_WEB_SUPER_PWD_RULE
- mdlcfg -d SYS_SENIOR_LOGIN_NAME
- mdlcfg -d SYS_SENIOR_LOGIN_PWD
- mdlcfg -d SYS_WEB_SENIOR_PWD_RULE
- mdlcfg -d SYS_WEB_SENIOR_PWD_HEAD
- mdlcfg -c
- fi
复制代码
- 我是直接删除的,这段删完后,重启就不会自动删除超级管理员账号了
- 然后往上找到这段,关于FOTA,我也是直接删除了,在后台关闭 FOTA 不生效就是因为这段脚本
- #和苗FOTA启动
- /bin/fota_start.sh restart >dev/null 2>&1 &
复制代码
下一篇帖子写一下安装 luci 的方式,也比较简单,不过这机子可用闪存很小,不足10M,可玩性很差,所以我后来重置了机器后就没装 luci 了
|