破解 红米ac2100路由器 刷breed和openwrt

OXIDA

本教程是我几次成功刷机后的记录和总结，留给自己也留给需要的人。本文用到的全部文件，最后有链接。红米路由器AC2100破解刷机流程概览

• 降级官方路由器固件到有漏洞的版本 miwifi_rm2100_firmware_d6234_2.0.7.bin
• 利用漏洞，刷入不死breed，breed-mt7621-xiaomi-r3g.bin。这个breed不能太新了，否则步骤3会失败。
• 使用breed刷入过渡openwrt，openwrt-ramips-mt7621-xiaomi_redmi-router-ac2100-initramfs-kernel.bin。
• 在过渡openwrt后台，通过op升级管理页面升级到最终版openwrt，openwrt-10.01.2023-ramips-mt7621-xiaomi_redmi-router-ac2100-squashfs-sysupgrade.bin。
  

动手之前注意点

发现电脑接路由器LAN口时最好接从WAN到LAN方向的第三个口（另一方向就是第二个口），接其他LAN口感觉有时电脑无法正常获取IP.

开始搞机一、从AC2100官方固件后台开启SSH1.1 登录路由器原版系统web后台，获取token

• 首次登录路由器后台，会进行初始配置，设置好wifi及后台管理密码。
• 观察浏览器中获取url地址,格式如下：
  

• http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/web/home#router
  

其中是具体的一串字符，它是登录后自动生成的token，32个字符，下面会用到；

1.2 在url中执行命令，开启ssh

用上面获取的token, 替换url中的后，复制到浏览器的URL中打开，即可执行命令，这一步网上各种格式，很多都不能正常开启ssh，下面的URL是我修复后，亲测有效的。

• http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3Bnvram+set+ssh_en%3D1%3B%0Anvram+commit%3B%0Ased+-i+%27s%2Fchannel%3D.%2A%2Fchannel%3D%5C%22debug%5C%22%2Fg%27+%2Fetc%2Finit.d%2Fdropbear%3B+%0A%2Fetc%2Finit.d%2Fdropbear+enable%3B%0A%2Fetc%2Finit.d%2Fdropbear+start%3B%0A
  

返回{“code”:0}即代表成功

上面是利用了官方固件的web注入漏洞执行命令

• nvram set ssh_en=1;
• nvram commit;
• sed -i 's/channel=.*/channel=\"debug\"/g' /etc/init.d/dropbear;
• /etc/init.d/dropbear enable;
• /etc/init.d/dropbear start;
  

1.3 修改root密码为admin

打开浏览器访问：

• http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20echo%20-e%20'admin%5Cnadmin'%20%7C%20passwd%20root%3B%0A
  

上面是利用了官方固件的web注入漏洞执行命令

echo -e 'admin\nadmin' | passwd root

1.4 使用ssh登录

ssh root@192.168.31.1

密码是上面初始化配置的密码admin

二、刷入不死鸟Breed，配置环境变量2.1.刷入breed

使用ssh客户端登录后台后：

1、上传breed-mt7621-xiaomi-r3g.bin 到/tmp/，可以使用winscp或者scp命令进行上传。

2、执行下面命令，刷入breed。

• nvram set uart_en=1
• nvram set bootdelay=5
• nvram set flag_try_sys1_failed=1
• nvram commit
• cd /tmp
• mtd -r write breed-mt7621-xiaomi-r3g.bin Bootloader
  

如果提示‘-sh: mtd: not found’，怎么办？
答：执行以下命令尝试
mtd_write -r write breed-mt7621-xiaomi-r3g.bin Bootloader

执行命令后，路由器自动重启，等重启重新入web控制台；

如果路由器在60秒内重启则代表刷BREED成功(灯会从蓝变橘，最终变蓝进入系统)。
如果未重启则手动重启，为防止变砖，强烈建议等待5分钟后拔电，注意路由断电后请等待10s以上再通电，用牙签按住reset键再插电，等蓝灯闪烁，松开reset键，浏览器访问192.168.1.1即可进入breed web界面（用户名和密码都是admin）。

2.2.刷入成功后拔掉电源，等待10s，然后按住reset同时接上电源，等10秒，蓝灯闪烁，即可进入breed。2.3.设置PC为自动获取IP地址，访问http://192.168.1.1 进入Breed Web恢复控制台；

首次进入breed记得先备份下编程器固件和eeprom。（此步骤可以不做）

2.4. 添加 环境变量 xiaomi.r3g.bootfw ,值设置为 22.5 进入“小米 R3G 设置”找到字段“normal_firmware_md5”，点击最右边的删除并保存，完后再刷固件三、在breed中刷入openwrt过渡包3.1.恢复openwrt过渡包 openwrt-ramips-mt7621-xiaomi_redmi-router-ac2100-initramfs-kernel.bin, 等待设备重启；

• 在 breed web后台,点击「固件更新」->「固件 选择文件」->「openwrt-ramips-mt7621-xiaomi_redmi-router-ac2100-initramfs-kernel.bin」。
• 去掉keep前面的对勾，意思是不保留配置，否则可能无法进入op。
• 选中复选框”自动重启”-点击上传
• 确认更新信息-点击”更新”-等待路由器重启即可。
  

3.2.重启后访问 http://192.168.1.1/ ，即可进入openwrt后台；四、升级到最新OpenWRT官方固件4.1 进入openwrt后台，依次进入菜单：System -> Backup / Flash Fireware4.2. Flash new firmware image

• 择WRT完整升级固件 openwrt-10.01.2023-ramips-mt7621-xiaomi_redmi-router-ac2100-squashfs-sysupgrade.binn，
• 不要勾选 Keep settings and retain the current configuration，
• 点击 “Flash Image…”上升刷入固件,
• 最后点Continue，等几分钟让路由器自己重启
  

提醒1、op固件（openwrt-10.01.2023-ramips-mt7621-xiaomi_redmi-router-ac2100-squashfs-sysupgrade.bin）是在线生成的，除了首页有几个外部链接外，有passwall和几个常用的app，其它功能很少，接近op原版，但是不保证没有任何问题，自己决定是否使用。如果你有自己的固件，更新固件的时候，可以使用你自己的固件。用到的全部文件

全部文件