小米路由器 AX3600 解锁 SSH 开启发烧之旅

小米 AIoT 路由器 AX3600 搭载高通第二代 Wi-Fi 6 方案，全套高通芯片 + 双频段高规格传输设计，2.4GHz 频段 2T2R、5GHz 频段 4T4R，双频段协同可达 3000Mbps 无线速率，两个频段各配备 6 颗外置信号放大器。本文记录解锁 AX3600 SSH 端口的完整流程。

原文参考：草东日记 - 小米路由器 AX3600 · 解锁 SSH 开启发烧之旅

准备工作

• Windows 推荐安装 Putty 和 WinSCP；Mac 直接用终端
• 一台 OpenWRT 路由器（用于将解锁脚本通过广播写入设备）
• 小米路由器 AX3600 1.0.17 版固件
• 解锁脚本 fuckax3600

所需文件已打包：

• 1.0.17 固件
• 解锁脚本

解锁设备有风险，请严格按步骤操作，切勿随意插拔，以免变砖。

第一步 · 刷入 1.0.17 固件

登录小米路由器后台，依次点击 常用设置 → 系统状态，检查系统版本是否为 1.0.17。

• 若低于 1.0.17：上传 miwifi-ax3600-1.0.17.bin 手动升级
• 若高于 1.0.17：系统会提示无法降级，需使用 小米路由器修复工具 完成降级

第二步 · 获取 STOK 秘钥

登录小米路由器后台 192.168.31.1，浏览器地址栏中会显示类似以下内容：

http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/web/home#router

记录 <STOK> 部分的值，后续步骤会用到。

第三步 · 开启 SSH 端口

将以下 URL 中的 <STOK> 替换为第二步获取的值，粘贴到浏览器地址栏访问：

http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20nvram%20set%20ssh_en%3D1%3B%20nvram%20commit%3B%20sed%20-i%20's%2Fchannel%3D.*%2Fchannel%3D%5C%22debug%5C%22%2Fg'%20%2Fetc%2Finit.d%2Fdropbear%3B%20%2Fetc%2Finit.d%2Fdropbear%20start%3B

浏览器返回 {"code":0} 即表示成功。

第四步 · 修改 SSH 密码

同样替换 <STOK> 后访问此 URL：

http://192.168.31.1/cgi-bin/luci/;stok=<STOK>/api/misystem/set_config_iotdev?bssid=Xiaomi&user_id=longdike&ssid=-h%3B%20echo%20-e%20'admin%5Cnadmin'%20%7C%20passwd%20root%3B

返回 {"code":0} 表示密码设置成功。

此时 SSH 登录信息：

• 用户名：root
• 密码：admin

第五步 · 备份与固化 SSH

5.1 SSH 连接路由器

ssh root@192.168.31.1
# 密码：admin

5.2 备份 mtd9 分区

mkdir /tmp/syslogbackup/
dd if=/dev/mtd9 of=/tmp/syslogbackup/mtd9

浏览器访问 http://192.168.31.1/backup/log/mtd9 下载备份。

也可直接下载我已备份好的：mtd9

5.3 上传并执行解锁脚本

通过 SCP 将 fuckax3600 上传至路由器：

# Windows CMD 需要替换为绝对路径，例如：
scp C:\Users\xxx\Desktop\fuckax3600 root@192.168.31.1:/tmp

# Mac 终端：
scp fuckax3600 root@192.168.31.1:/tmp

SSH 连接路由器后执行：

chmod +x /tmp/fuckax3600
/tmp/fuckax3600 unlock

系统会自动重启。重启后 /tmp 会被清空，需重新上传脚本：

scp fuckax3600 root@192.168.31.1:/tmp
ssh root@192.168.31.1

chmod +x /tmp/fuckax3600
/tmp/fuckax3600 hack
/tmp/fuckax3600 lock

这会设置永久的 SSH、Telnet、UART 权限，并计算出默认密码，务必记录保存。

5.4 Telnet 备用恢复

升级固件后如果 SSH 权限丢失，可通过 Telnet 恢复：

telnet 192.168.31.1

进入后执行：

sed -i 's/channel=.*/channel="debug"/g' /etc/init.d/dropbear
/etc/init.d/dropbear start

即可恢复 SSH，密码为上一步 fuckax3600 lock 计算出的默认密码。

Windows 开启 Telnet：控制面板 → 程序和功能 → 启用或关闭 Windows 功能 → 勾选 Telnet 客户端。Mac 需 brew install telnet。

完成

SSH 已永久解锁，可以自由安装各种扩展插件了。