首頁 收藏 QQ群
 網(wǎng)站導(dǎo)航

ZNDS智能電視網(wǎng) 推薦當(dāng)貝市場

TV應(yīng)用下載 / 資源分享區(qū)

軟件下載 | 游戲 | 討論 | 電視計算器

綜合交流 / 評測 / 活動區(qū)

交流區(qū) | 測硬件 | 網(wǎng)站活動 | Z幣中心

新手入門 / 進(jìn)階 / 社區(qū)互助

新手 | 你問我答 | 免費(fèi)刷機(jī)救磚 | ROM固件

查看: 48958|回復(fù): 5
上一主題 下一主題
[軟件教程分享]

【轉(zhuǎn)帖】Android root權(quán)限刷機(jī)分析

[復(fù)制鏈接]
跳轉(zhuǎn)到指定樓層
樓主
發(fā)表于 2021-10-7 20:06 | 只看該作者 回帖獎勵 |倒序?yàn)g覽 |閱讀模式 | 來自重慶
許多機(jī)友新購來的Android機(jī)器沒有刷過Root權(quán)限,無法使用一些需要高權(quán)限的軟件,以及進(jìn)行一些高權(quán)限的操作,其實(shí)刷手機(jī)Root權(quán)限是比較簡單及安全的,刷Root權(quán)限的原理就是在手機(jī)的/system/bin/或/system/xbin/目錄下放置一個可執(zhí)行文件“su”,這是一個二進(jìn)制文件,相當(dāng)于電腦上的exe文件,僅僅在系統(tǒng)中置入這個“su”文件是不會給手機(jī)的軟件或硬件造成任何故障。

下面的代碼是android系統(tǒng)原版的su中的部分代碼,可以看出只允許getuid()為AID_ROOT和AID_SHELL的進(jìn)程可以使用su進(jìn)行登陸。
復(fù)制代碼 代碼如下:

<SPAN style="FONT-SIZE: 18px"><STRONG>/* Until we have something better, only root and the shell can use su. */
myuid = getuid();
if (myuid != AID_ROOT && myuid != AID_SHELL) {
fprintf(stderr,"su: uid %d not allowed to su\n", myuid);
return 1;
}</STRONG></SPAN>

面在Superuser這個android程序中的su不再有上面的一部分,這樣任何進(jìn)程都可以使用su進(jìn)行登陸了,有一部分android程序要使用root權(quán)限可能的用法類似于(這個也是Superuser中的一部分代碼):
復(fù)制代碼 代碼如下:

Process process = Runtime.getRuntime().exec("su");
DataOutputStream os = new DataOutputStream(process.getOutputStream());
os.writeBytes("mount -oremount,rw /dev/block/mtdblock3 /system\n");
os.writeBytes("busybox cp /data/data/com.koushikdutta.superuser/su /system/bin/su\n");
os.writeBytes("busybox chown 0:0 /system/bin/su\n");
os.writeBytes("chmod 4755 /system/bin/su\n");
os.writeBytes("exit\n");
os.flush();

而在上面提到的Superuser和android程序中的su源碼中都有這部分代碼:
復(fù)制代碼 代碼如下:

if(setgid(gid) || setuid(uid)) {
fprintf(stderr,"su: permission denied\n");
return 1;
}

看上去這里就是進(jìn)行權(quán)限切換的地方了。面普通用戶要能使用su,su的權(quán)限要是這樣:
-rwsr-xr-x. 1 root root 34904 11月 3 2010 /bin/su

這個和電腦版的su上是一樣的。

從出上面的分析可以認(rèn)為刷android的root權(quán)限的實(shí)質(zhì)是:在系統(tǒng)中加入一個任何用戶都可能用于登陸的su命令。當(dāng)然這首先要取得root權(quán)限才能做

到。在z4root這個android下的刷android的root權(quán)限的程序中有一個rageagainstthecage,可能就是設(shè)法得到root權(quán)限的程序。


第二篇文章:

如果你進(jìn)行過程序開發(fā),在root過的手機(jī)上面獲得root權(quán)限的代碼如下:
復(fù)制代碼 代碼如下:

Process process = Runtime.getRuntime().exec("su");
DataOutputStream os = new DataOutputStream(process.getOutputStream());
......
os.writeBytes("exit\n");
os.flush();

從上面代碼我們可以看到首先要運(yùn)行su程序,其實(shí)root的秘密都在su程序中,《android root權(quán)限分析》中講到Android系統(tǒng)默認(rèn)的su程序只能root和shell可以用運(yùn)行su,這個是安全的。如果把這個限制拿掉,就是root了!
下面我們仔細(xì)分析一下程序是怎樣獲得root權(quán)限的,如果對Linux的su命令熟悉的朋友可能知道su程序都設(shè)置SUID位,我們查看一下我的手機(jī)(已經(jīng)root)上的su權(quán)限設(shè)置,



我們發(fā)現(xiàn)su的所有者和所有組都是root,是其實(shí)是busybox的軟鏈接,我們查看busybox的屬性發(fā)現(xiàn),其設(shè)置了SUID和SGID,并且所有者和所有組都是root。SUID和SGID的作用是什么呢?如果你不太清楚,請參考《Linux進(jìn)程的實(shí)際用戶ID和有效用戶ID》,這樣運(yùn)行busybox的普通用戶,busybox運(yùn)行過程中獲得的是root的有效用戶。su程序則是把自己啟動一個新的程序,并把自己權(quán)限提升至root(我們前面提到su其實(shí)就是busybox,運(yùn)行期它的權(quán)限是root,當(dāng)然也有權(quán)限來提升自己的權(quán)限)。

再強(qiáng)調(diào)一下不光root手機(jī)上su需要設(shè)置SUID,所有的Linux系統(tǒng)上的su程序都需要設(shè)置SUID位。請參考一下UC服務(wù)器的su的權(quán)限情況:



我們發(fā)現(xiàn)su也設(shè)置了SUID位,這樣普通用戶也可以運(yùn)行su程序,su程序會驗(yàn)證root密碼,如果正確su程序可以把用戶權(quán)限提高的root(因?yàn)槠湓O(shè)置SUID位,運(yùn)行期是root權(quán)限,這樣其有權(quán)限提升自己的權(quán)限)。

這樣我們就可以看出其實(shí)Android系統(tǒng)的根本原理就是替換掉系統(tǒng)中的su程序,因?yàn)橄到y(tǒng)中的默認(rèn)su程序需要驗(yàn)證實(shí)際用戶權(quán)限(只有root和 shell用戶才有權(quán)運(yùn)行系統(tǒng)默認(rèn)的su程序,其他用戶運(yùn)行都會返回錯誤)。而后的su將不檢查實(shí)際用戶權(quán)限,這樣普通的用戶也將可以運(yùn)行su程序, 也可以通過su程序?qū)⒆约旱臋?quán)限提升。

到這里大家對root不感到神秘了吧。root沒有利用什么Linux內(nèi)核漏洞(Linux內(nèi)核不可能有這么大的漏洞存在),可以理解成root就是在你系統(tǒng)中植入“木馬su”,說它是“木馬”一點(diǎn)兒都不為過,假如惡意程序在系統(tǒng)中運(yùn)行也可以通過su來提升自己的權(quán)限的這樣的結(jié)果將會是災(zāi)難性 的。所以一般情況下root過手機(jī)都會有一個SuperUser應(yīng)用程序來讓用戶管理允許誰獲得root權(quán)限,也算是給系統(tǒng)加了一層保險吧!

通過上文《Android系統(tǒng)root原理分析》 的介紹大家應(yīng)該明白了root過程的終極目標(biāo)是替換掉系統(tǒng)中的su程序。但是要想替換掉系統(tǒng)中su程序本身就是需要root權(quán)限的,怎樣在root破 解過程中獲得root權(quán)限,成為我們研究的重點(diǎn)了。下面我們先清點(diǎn)一下我們需要系統(tǒng)情況,假設(shè)需要的Android系統(tǒng)具備如下條件:
復(fù)制代碼 代碼如下:

1、可以通過adb連接到設(shè)備,一般意味著驅(qū)動程序已經(jīng)安裝。
2、但是adb獲得用戶權(quán)限是shell用戶,而不是root。

要想理解root過程我們首先需要了解一下adb工具,SDK中包含adb工具,設(shè)備端有adbd服務(wù)程序后臺 運(yùn)行,為開發(fā)機(jī)的adb程序提供服務(wù),adbd的權(quán)限,決定了adb的權(quán)限。具體用戶可查看/system/core/adb下的源碼,查看 Android.mk你將會發(fā)現(xiàn)adb和adbd其實(shí)是一份代碼,然后通過宏來編譯。
查看adb.c的adb_main函數(shù)你將會發(fā)現(xiàn)adbd中有如下代碼:
復(fù)制代碼 代碼如下:

int adb_main(int is_daemon)
{
    ......
    property_get("ro.secure", value, "");
    if (strcmp(value, "1") == 0) {
        // don't run as root if ro.secure is set...
        secure = 1;
        ......
    }
    if (secure) {
        ......

從中我們可以看到adbd會檢測系統(tǒng)的ro.secure屬性,如果該屬性為1則將會把自己的用戶權(quán)限降級成shell用戶。一般設(shè)備出廠的時候在/default.prop文件中都會有:
復(fù)制代碼 代碼如下:

ro.secure=1

這樣將會使adbd啟動的時候自動降級成shell用戶。
然后我們再介紹一下adbd在什么時候啟動的呢?答案是在init.rc中配置的系統(tǒng)服務(wù),由init進(jìn)程啟動。我們查看init.rc中有如下內(nèi)容:
復(fù)制代碼 代碼如下:

# adbd is controlled by the persist.service.adb.enable system property
service adbd /sbin/adbd
   disabled

對Android屬性系統(tǒng)少有了解的朋友將會知道,在init.rc中配置的系統(tǒng)服務(wù)啟動的時候都是root權(quán)限(因?yàn)閕nit進(jìn)行是root權(quán)限,其子程序也是root)。由此我們可以知道在adbd程序在執(zhí)行:
復(fù)制代碼 代碼如下:

/* then switch user and group to "shell" */
setgid(AID_SHELL);
setuid(AID_SHELL);

代碼之前都是root權(quán)限,只有執(zhí)行這兩句之后才變成shell權(quán)限的。
這樣我們就可以引出root過程中獲得root權(quán)限的方法了,那就是讓以上面setgid和setuid函數(shù)執(zhí)行失敗,也就是降級失敗,那就繼續(xù)在root權(quán)限下面運(yùn)行了。

這其實(shí)利用了一個RageAgainstTheCage漏洞,具體分析請參考《Android adb setuid提權(quán)漏洞的分析》和《RageAgainstTheCage》。這里面做一個簡單說明:
復(fù)制代碼 代碼如下:

1、出廠設(shè)置的ro.secure屬性為1,則adbd也將運(yùn)行在shell用戶權(quán)限下;
2、adb工具創(chuàng)建的進(jìn)程ratc也運(yùn)行在shell用戶權(quán)限下;

3、ratc一直創(chuàng)建子進(jìn)程(ratc創(chuàng)建的子程序也 將會運(yùn)行在shell用戶權(quán)限下),緊接著子程序退出,形成僵尸進(jìn)程,占用shell用戶的進(jìn)程資源,直到到達(dá)shell用戶的進(jìn)程數(shù)為 RLIMIT_NPROC的時候(包括adbd、ratc及其子程序),這是ratc將會創(chuàng)建子進(jìn)程失敗。這時候殺掉adbd,adbd進(jìn)程因?yàn)槭?Android系統(tǒng)服務(wù),將會被Android系統(tǒng)自動重啟,這時候ratc也在競爭產(chǎn)生子程序。在adbd程序執(zhí)行上面setgid和setuid之 前,ratc已經(jīng)創(chuàng)建了一個新的子進(jìn)程,那么shell用戶的進(jìn)程限額已經(jīng)達(dá)到,則adbd進(jìn)程執(zhí)行setgid和setuid將會失敗。根據(jù)代碼我們發(fā) 現(xiàn)失敗之后adbd將會繼續(xù)執(zhí)行。這樣adbd進(jìn)程將會運(yùn)行在root權(quán)限下面了。

3、這是重新用adb連接設(shè)備,則adb將會運(yùn)行在root權(quán)限下面了。

通過上面的介紹我們發(fā)現(xiàn)利用RageAgainstTheCage漏洞,可以使adbd獲得root權(quán)限,也就是adb獲得了root權(quán)限。拿到root權(quán)限剩下的問題就好辦了,復(fù)制之后的su程序到系統(tǒng)中(見上文《Android系統(tǒng)root原理分析》的介紹),都是沒有什么技術(shù)含量的事情了。
其實(shí)堵住adbd的這個漏洞其實(shí)也挺簡單的:
復(fù)制代碼 代碼如下:

/* then switch user and group to "shell" */
if (setgid(AID_SHELL) != 0) {
    exit(1);
}
if (setuid(AID_SHELL) != 0) {
    exit(1);
}

評分

參與人數(shù) 1金幣 +1 收起 理由
asonga + 1 精品文章

查看全部評分


上一篇:【轉(zhuǎn)帖】Android 獲取ROOT權(quán)限原理解析
下一篇:【轉(zhuǎn)帖】飛線5根連接圖_EMMC ISP飛線時常出錯原因分析及解....
沙發(fā)
發(fā)表于 2021-10-7 21:09 | 只看該作者 | 來自浙江
干貨mark了
回復(fù) 支持 反對

使用道具 舉報

板凳
發(fā)表于 2021-10-8 09:38 | 只看該作者 | 來自上海
回復(fù) 支持 反對

使用道具 舉報

地板
發(fā)表于 2021-10-8 09:38 | 只看該作者 | 未知
感謝樓主分享
回復(fù) 支持 反對

使用道具 舉報

5#
發(fā)表于 2021-10-8 09:38 | 只看該作者 | 未知
66666666666666666
回復(fù) 支持 反對

使用道具 舉報

6#
發(fā)表于 2023-2-11 14:17 | 只看該作者 | 來自浙江
超出了 我的認(rèn)知范圍,看不懂了
回復(fù) 支持 反對

使用道具 舉報

您需要登錄后才可以回帖 登錄 | 立即注冊

本版積分規(guī)則

Archiver|新帖|標(biāo)簽|軟件|Sitemap|ZNDS智能電視網(wǎng) ( 蘇ICP備2023012627號 )

網(wǎng)絡(luò)信息服務(wù)信用承諾書 | 增值電信業(yè)務(wù)經(jīng)營許可證:蘇B2-20221768 丨 蘇公網(wǎng)安備 32011402011373號

GMT+8, 2024-12-22 15:54 , Processed in 0.067126 second(s), 14 queries , Redis On.

Powered by Discuz!

監(jiān)督舉報:report#znds.com (請將#替換為@)

© 2007-2024 ZNDS.Com

快速回復(fù) 返回頂部 返回列表