小米路由器4 LAN口全千兆+5G Wifi，当时顺手买了这货，性价比蛮高。后面由于路由器升级，这货一直在吃灰。最近偶然看到它，发现网上的教程都是需要TTL线刷😂。其实不用线刷也能刷入Openwrt，特地记录下刷机过程。

Root路由器

使用网友开源方案OpenWRTInvasion进行Root。

理论上此方案兼容：

• 小米路由器4
• 小米路由器4A 千兆版
• 小米路由器4A 100M版
• 小米路由器4C
• 小米路由器4Q（R4C）
• 小米路由器3Gv2
• 小米路由器3C

不同型号需要的版本号可能不同，详细情况请自行查阅OpenWRTInvasion。

先决条件

1. 安装好git、python3和pip3。
2. 安装好telnet（Mac下：brew install telnet）。
3. 路由器和电脑都已经连接上网络。

Root Shell

git clone https://github.com/acecilia/OpenWRTInvasion
cd OpenWRTInvasion
pip3 install -r requirements.txt
python3 remote_command_execution_vulnerability.py

获取stock

执行脚本后，会要求输入Route IP和stok。路由器地址就不解释了，stok的获取方法很简单，访问路由器管理地址，例如http://192.168.1.1，然后登录管理后台，再查看当前的路由器管理后台的URL，在URL中某个参数就是stok。执行过程需要联网。

脚本执行成功后，执行：

telnet <router_ip_address>

用户是root，不需要密码，回车即可进入。

刷入OpenWRT

注意： 此步骤刷入的固件仅支持小米路由器4和红米AC2100，其它机型请自行查找固件。

感谢ioiotor大佬提供的固件：https://github.com/ioiotor/mir4-autobuild。可以参考原作者写的小米路由器4刷openwrt 19.07.2 教程。

我也只是使用别人做好的固件，使用过程有什么问题，请联系原作者。

由于Mac下我没有找到怎么通过telnet直接传文件，记录一下我的解决办法：

下载release页面大佬编译好的固件，并将openwrt-ramips-mt7621-xiaomi_mir4-squashfs-kernel1.bin和openwrt-ramips-mt7621-xiaomi_mir4-squashfs-rootfs0.bin这两个文件上传到你的七牛或者别的对象存储中，方便路由器直接wget。

参考原作者的命令：

cd /tmp
wget http://你的七牛或者别的对象存储地址/openwrt-ramips-mt7621-xiaomi_mir4-squashfs-kernel1.bin
wget http://你的七牛或者别的对象存储地址/openwrt-ramips-mt7621-xiaomi_mir4-squashfs-rootfs0.bin
mtd write openwrt-ramips-mt7621-xiaomi_mir4-squashfs-kernel1.bin kernel1
mtd write openwrt-ramips-mt7621-xiaomi_mir4-squashfs-rootfs0.bin rootfs0
nvram set flag_try_sys1_failed=1
nvram commit
reboot

重启后，打开浏览器，输入http://192.168.1.1，用户名是root，密码为空或password。

进入系统-备份/升级页面（/cgi-bin/luci/admin/system/flash），将带sysupgrade的固件文件上传到刷写新固件（取消勾选保存配置）。刷入后等待重启，刷机完成。

路由器内存够用，性能也不错，截止发稿，稳定运行两个周。再次感谢提供Root Shell方案的相关大佬和ioiotor大佬的固件。