“Ver1.0.0”版固件的中移动RAX3000Q获得超级用户权限的方法

非原创，感谢作者大神的分享，特此笔记一下，另外稍微增加一点毫无技术含量的内容，以保证该方法的永久可用性（断电或重启后不失效）。

背景：

我是移动宽带，在一年前为了MESH组网实现全屋网络覆盖，加上性价比非常不错，就先后购买了2个RAX3000Q型号的路由器，先买的那个的固件是1.0.4版的，imlk's Blog介绍的方法（https://blog.imlk.top/posts/rax3000q-get-shell/）获取的超级用户账户及密码均有效，但是后买的那个，由于出厂日期更靠后，固件版本变为了1.0.0（之前使用嗅探软件得知，这个版本号是一个Fake Version，实际版本号为1.1.0），而且在这个所谓的1.0.0固件中，上面网址中介绍的超级用户账户及密码已经失效，在其文章的回复中，一位大神给出了1.0.0版固件实现超级用户权限的方法，特此水上一篇，一是当学习笔记，方便日后玩机时参考，另外我会以图片形式给出较详细的过程，方便不太了解的新同学进行操作（其实关键原理我也不懂，哈哈）。

实现过程：

1.用user账户及密码（查看你的路由器的背面的贴纸即可获得）登录路由器软件界面：

2.登录后点击“更多”按钮。

3.接下来的页面中，点击“诊断”按钮

4.在接下来的页面中，点击左边的“ping”子页面，然后在红色的框中，填入 $(id)   

（注意：用英文半角输入上述字符），然后点击旁边的“开始”按钮，下方的蓝色框中会返回一串字符。PS：此即利用漏洞清除了root密码。

5.接着还是这个页面，在红色框中填入 $(dropbear)

点击旁边的“开始”按钮，下方蓝色框中同样返回一串字符。PS：此操作即运行dropbear开启SSH。

6.下载并安装winscp（该软件为带有图形界面的SSH工具）（https://softforspeed.51xiazai.cn/down/2022down/10/11/WinSCP5.21.5.exe），照下图进行填写，协议选择scp，主机名填写你的路由的IP（默认为192.168.10.1，我这里是修改过的为192.168.11.1），用户名为root，密码为空，填好以后点击“登录”按钮。

7，登录路由器后，找到etc目录（如下图），然后选中双击进入：

8.双击进入etc目录，找到config目录，选中后双击进入：

9.在接下来的页面中（即/etc/config/），找到dropbear的配置文件（如下图）：

10.左键选中dropbear这个文件，点击右键，选择“编辑”：

11.点击编辑后，出现下图的编辑框，依照图中说明修改，这里修改2处：

option port我改成了默认的22，也可以不修改，这里根据自己需要修改（安全考虑则不改）。

option enable 需从0修改为1。

然后点击左上角红框中的磁盘图标，保存即可。

PS：此相当于liunx下vi编辑器的图形化前端，直观易操作。

12.完成11步后，回退目录至etc，并找到rc.local这个文件（如下图）：

13.选中rc.local这个文件，还是右键—编辑，得到下图的编辑框，这里需添加三条命令，作用是路由器加电时自动执行，以求修改后永久有效。这里注意下图添加的位置，一定要添加在exit 0这个结束标志符之前。

/etc/init.d/dropbear      

mdlcfg -a SYS_SUPER_LOGIN_NAME="superadmin"

mdlcfg -a SYS_SUPER_LOGIN_PWD="83583000"

PS：三条命令的含义

第一条：开机或重启时自动启动dropbear（执行此程序即开启SSH）

第二条：开机或重启时时自动创建超级用户账户名—superadmin

第三条：开机或重启时自动添加超级用户账户对应密码—83583000

到此为止，所谓1.0.0版本获取超级用户权限的修改全部结束，可重启后观察效果，

使用superadmin/83583000即可登录具有完整设置界面的路由器设置页面，当以超级用户权限登录后，会显示正确的固件版本号，一些之前不可见的设置页面也已经开启，如下两图：

后记：写这么详细，是为了一些新同学操作时能尽量一次成功，操作一次之后，以后在进行类似操作时自然而然就会有感觉了。