Utilidades

Podéis acceder a los firmwares, fuckax3600 y utilidades en este link

Obtener SSH permanente

Para poder obtener SSH permanente en vuestro AX3600 primero es necesario poner vuestro
router en un firmware vulnerable. Ese firmware es el 1.0.17 y es Chino por lo que tendréis la UI
en chino. Podéis usar el traductor de google si conectais vuestro AX3600 al router de la
compañía por LAN -> WAN (puerto LAN del router de la compañía a puerto WAN del AX3600)

Una vez tenemos internet en nuestro router accederemos a la interfaz web http://192.168.31.1 .
En caso de ser la primera vez que configuramos el router (o haber dado botonazo) nos pedirá
que configuremos la Wifi y el password de administrador. Usaremos ese password para
acceder a la web.

Una vez dentro veremos una pantalla parecida a esto:

Copiamos el número de serie y lo introducimos en la página https://www.oxygen7.cn/miwifi/ para

obtener el password de root autogenerado. Guardamos ese password en un fichero de texto o
algún sitio que no se borre.
Procedemos a bajar el firmware a 1.0.17 CN
Para ello accedemos al router por la web http://192.168.31.1 y vamos a la página de avanzado.
Si la tenéis en chino es el segundo menú y el icono de información

Y pulsamos manual upgrade

Seleccionamos el 1.0.17, le damos a iniciar y esperamos. El router se va a reiniciar y ahora si,
lo tendremos todo el chino.

Activamos el SSH temporal

Para poder activar el SSH temporal tenemos que realizar una serie de comandos en la línea de
direcciones, como si fuéramos a distintas páginas. Lo que eso hace es ejecutar una serie de
comandos en el Kernel de Linux para desbloquear el SSH.

Cada vez que hacemos login el router vamos a obtener un código nuevo en la barra de
direcciones llamado STOK

Para ejecutar los comandos vamos a pegar detrás de ese número las siguientes instrucciones y
pulsaremos <INTRO>. Si todo va bien nos va a dar { “code”: 0 }

Para hacerlo sencillo borraremos lo que venga después de /web/xxxx dejándolo así:

192.168.31.1/cgi-bin/luci/;stok=14266c571e95de4029b019f9e2a1108f/

Los comandos son los siguientes en orden (referencia).

Activamos el flag de SSH por nvram

/api/misystem/set_config_iotdev?bssid=gallifrey&user_id=doctor&ssid=-h%0Anvra
m%20set%20ssh%5Fen%3D1%0A
Persistimos los cambios en nvram

/api/misystem/set_config_iotdev?bssid=gallifrey&user_id=doctor&ssid=-h%0Anvra
m%20commit%0A

Hacemos una copia por si acaso del servicio dropbear (que vamos a modificar luego)

/api/misystem/set_config_iotdev?bssid=gallifrey&user_id=doctor&ssid=-h%0Acp%2
0%2Fetc%2Finit.d%2Fdropbear%20%2Fetc%2Finit.d%2Fdropbear_backup%0A

Modificamos el servicio dropbear (mini hack)

/api/misystem/set_config_iotdev?bssid=gallifrey&user_id=doctor&ssid=-h%0Ased%
20-i%20'%2Fflg_ssh.*release%2F%20%7B%20%3Aa%3B%20N%3B%20%2Ffi%2F!%20ba%20%7D%
3B%2Freturn%200%2Fd'%20%2Fetc%2Finit.d%2Fdropbear%0A

Cambiamos el password de root. Debemos cambiar dónde pone <PASSWORD> en la línea por
el password obtenido en Oxygen, las dos veces!

/api/misystem/set_config_iotdev?bssid=gallifrey&user_id=doctor&ssid=-h%0Aecho
%20-e%20%27<PASSWORD>%5Cn<PASSWORD>%27%20%7C%20passwd%20root%0A

Activamos el servicio dropbear

/api/misystem/set_config_iotdev?bssid=gallifrey&user_id=doctor&ssid=-h%0A%2Fe
tc%2Finit.d%2Fdropbear%20enable%0A

Iniciamos el servicio dropbear

/api/misystem/set_config_iotdev?bssid=doctor&user_id=doctor&ssid=-h%0A%2Fetc%
2Finit.d%2Fdropbear%20start%0A

YA TENEMOS SSH! (Temporalmente)

Si tenemos una aplicación como Fing podemos comprobar los puertos abiertos del router y
veremos el puerto 22 abierto.

Hacemos el SSH permanente

Para ello accedemos por SSH al router usando el programa Putty. Ponemos como dirección
192.168.31.1 y protocolo SSH.
Nos pedirá un usuario y le ponemos root el password es el que obtuvimos con Oxygen (o
<PASSWORD> si no lo cambiamos, o <password de oxygen> si nos olvidamos de borrar los <>
…)

Mac o Linux

Nota: Si usamos Mac o Linux podemos usar la aplicación nativa de terminal y acceder con el
siguiente comando:

ssh root@192.168.31.1

Y introducimos el password.

Un vez dentro veremos algo así:

NOTA: En caso de que no nos entrase con el password de Oxygen si no con <PASSWORD> o
similar deberíamos cambiar el password de root. Para ello hacer lo siguiente:

passwd root

Ponemos el password de Oxygen 2 veces y confirmamos.

En este punto deberemos vamos a introducir los siguientes comandos:

Hacemos una copia de seguridad por si la liamos...

nanddump -f /tmp/bdata_mtd9.img /dev/mtd9

Y la descargamos mediante WinSCP de la carpeta /tmp

Mac o Linux

Si tenemos Mac o Linux podemos descargar el fichero usando la aplicación nativa de Mac por
terminal

scp root@192.168.31.1:/tmp/bdata_mtd9.img ~/Downloads

Esto nos va a descargar el fichero en el directorio Descargas

Desbloqueo de la partición BData

Desde el mismo WinSCP vamos a subir el fichero fuckax3600 a la carpeta /tmp antes del
siguiente paso

Mac o Linux
De nuevo podemos subir el fichero con scp desde terminal con el comando:

scp ~/Downloads/fuckax3600 root@192.168.31.1:/tmp

NOTA: Si no os gusta scp podéis probar con cyberduck pero no lo he usado

nunca.

Comandos

Ejecutamos los siguientes comandos:

chmod +x /tmp/fuckax3600
/tmp/fuckax3600 unlock

Con esto desprotegemos la partición BData y el router se va a reiniciar

Cambio de parámetros con Fuckax3600

Volvemos a entrar al router por SSH con Putty y volvemos a subir el fichero fuckax3600 a la
carpeta /tmp ya que el reinicio lo borra.

Mac o Linux
De nuevo podemos subir el fichero con scp desde terminal con el comando:

scp ~/Downloads/fuckax3600 root@192.168.31.1:/tmp

Comandos

Ejecutamos los siguientes comandos:

chmod +x /tmp/fuckax3600
/tmp/fuckax3600 hack

IMPORTANTE: Tras ejecutar fuckax3600 os va a devolver unas líneas de texto.

La última pone algo como username:password:xxxxxx dónde xxxxxx debería ser el
mismo password de Oxygen. Si no es así es posible que el Telnet no se
despierte y debáis hacer los pasos “Ayuda! No se me despierta Telnet!”

/tmp/fuckax3600 lock

Tras ejecutar el comando de lock volvemos a proteger la partición BData y el router vuelve a
reiniciarse.

Ya tenemos SSH permanente

Cuando se vuelva a iniciar podemos comprobar con Fing o similares que los puertos 22 y 23
están abiertos (SSH y Telnet)

Tras este paso lo recomendable es cambiar el firmware al que queramos, o bien 3.0.22 INT
para tenerlo en Español o 1.1.15 CN para tener lo último en Chino. También podemos poner los
firmware parcheados de Forocoches para no mandar datos a China aunque teniendo el BData
en EU no deberíamos tener problemas.

Posteriormente vamos a despertar el Telnet que se ha dormido

Ayuda! No se me despierta Telnet!
Hay casos en los que tras hacer todo el proceso y hacer lock no se tiene disponible el puerto
Telnet (23). Estos casos suelen tener algo en común, el password que da fuckax3600 no
concuerda con el de Oxygen y parece ser que la partición bdata no tiene algunos parámetros.

En primer lugar vamos a comprobar que el Serial Number de ambas particiones es correcto.
Ejecutamos lo siguiente:

nvram get SN
bdata get SN

Al ejecutar ambos comandos deberíamos obtener el mismo serial con el formato

12345/AXXX123XXX pero es posible que, si nos ha fallado fuckax3600 nos devuelva en blanco
para el bdata.

En caso de que hayamos bloqueado la partición bdata vamos a tener que desbloquearla de
nuevo

Vamos a escribir correctamente el Serial en bdata con el siguiente comando:

bdata set SN=$(nvram get SN)

bdata commit

Por si acaso, antes de seguir vamos a activar todos los flags en bdata ya que en algunas
pruebas fuckax3600 ha seguido sin funcionar correctamente

bdata set ssh_en=1

bdata set telnet_en=1
bdata set uart_en=1
bdata commit

Y finalmente volvemos a ejecutar fuckax3600 hack que debería darnos correctamente el

password de Oxygen esta vez y mantener Telnet abierto tras el lock.

Ya tenemos SSH permanente

Tras el cambio de firmware…

Tras instalar el nuevo firmware vamos a ver que el SSH ha desaparecido. Tranquilos, realmente
está dormido y podemos comprobar con Fing que el puerto 23 sigue abierto.

Abrimos Putty y esta vez usamos el protocolo telnet y esta vez ponemos los siguientes
comandos:
sed -i 's/channel=.*/channel="debug"/g' /etc/init.d/dropbear
/etc/init.d/dropbear start

Mac o Linux
Podemos usar el comando nativo de telnet para la conexión:

telnet 192.168.31.1

Si nos da comando no encontrado en Mac lo podemos instalar con brew

/usr/bin/ruby -e "$(curl -fsSL

https://raw.githubusercontent.com/Homebrew/install/master/install)"
brew install telnet

El SSH vuelve a estar activado :D

Aumentamos la potencia
Si ponemos el firmware chino vamos a tener la potencia al máximo por defecto pero si
mantenemos la global veremos que la potencia es baja.

Podemos ver la potencia con los siguientes comandos:

iwlist wl0 txpower

iwlist wl1 txpower

El máximo es 30 dBm
Para cambiarlo temporalmente podemos usar los comandos

iwconfig wl0 txpower 30

iwconfig wl1 txpower 30

Pero eso se va a perder tras el reinicio por lo que modificaremos el fichero /etc/rc.local ya
sea con Putty o si os va la marcha con vim

Pondremos la siguiente línea antes de exit 0

(sleep 60; iwconfig wl0 txpower 30; iwconfig wl1 txpower 30)&

Y con esto ya tenemos la potencia al máximo

Pero esto de la potencia a tope no es malo?

Algunos podéis estar preocupados sobre si la potencia de WiFi al máximo es malo. En principio
no hay nada malo ya que las frecuencias de WiFi no son dañinas para el ser humano. Pero si
os preocupa eso podemos poner que las potencias se cambien según que horas.
Para ello editaremos el fichero /etc/crontabs/root ya sea con WinSCP desde vuestra
máquina o el programa vi dentro del router. En ese archivo pondremos las siguientes líneas:

10 8 * * * iwconfig wl0 txpower 30;iwconfig wl1 txpower 30;iwconfig wl2

txpower 30 >/dev/null 2>&1
30 23 * * * iwconfig wl0 txpower 4;iwconfig wl1 txpower 4;iwconfig wl2
txpower 5 >/dev/null 2>&1

La primera línea sube la potencia a las 8:10 de la mañana a 30 dbm (10 son los minutos y 8 la
hora). La segunda línea baja la potencia a 4 dbm a partir de las 23:30. Cambiad las horas a
vuestro gusto.