android root權(quán)限破解分析
許多機(jī)友新購(gòu)來(lái)的Android機(jī)器沒有破解過(guò)Root權(quán)限,無(wú)法使用一些需要高權(quán)限的軟件,以及進(jìn)行一些高權(quán)限的操作,其實(shí)破解手機(jī)Root權(quán)限是比較簡(jiǎn)單及安全的,破解Root權(quán)限的原理就是在手機(jī)的/system/bin/或/system/xbin/目錄下放置一個(gè)可執(zhí)行文件“su”,這是一個(gè)二進(jìn)制文件,相當(dāng)于電腦上的exe文件,僅僅在系統(tǒng)中置入這個(gè)“su”文件是不會(huì)給手機(jī)的軟件或硬件造成任何故障。
下面的代碼是android系統(tǒng)原版的su中的部分代碼,可以看出只允許getuid()為AID_ROOT和AID_SHELL的進(jìn)程可以使用su進(jìn)行登陸。
-rwsr-xr-x. 1 root root 34904 11月 3 2010 /bin/su
這個(gè)和電腦版的su上是一樣的。
從出上面的分析可以認(rèn)為破解android的root權(quán)限的實(shí)質(zhì)是:在系統(tǒng)中加入一個(gè)任何用戶都可能用于登陸的su命令。當(dāng)然這首先要取得root權(quán)限才能做
到。在z4root這個(gè)android下的破解android的root權(quán)限的程序中有一個(gè)rageagainstthecage,可能就是設(shè)法得到root權(quán)限的程序。
第二篇文章:
如果你進(jìn)行過(guò)程序開發(fā),在root過(guò)的手機(jī)上面獲得root權(quán)限的代碼如下:
下面我們仔細(xì)分析一下程序是怎樣獲得root權(quán)限的,如果對(duì)Linux的su命令熟悉的朋友可能知道su程序都設(shè)置SUID位,我們查看一下我的手機(jī)(已經(jīng)root破解)上的su權(quán)限設(shè)置,
我們發(fā)現(xiàn)su的所有者和所有組都是root,是其實(shí)是busybox的軟鏈接,我們查看busybox的屬性發(fā)現(xiàn),其設(shè)置了SUID和SGID,并且所有者和所有組都是root。SUID和SGID的作用是什么呢?如果你不太清楚,請(qǐng)參考《Linux進(jìn)程的實(shí)際用戶ID和有效用戶ID》,這樣運(yùn)行busybox的普通用戶,busybox運(yùn)行過(guò)程中獲得的是root的有效用戶。su程序則是把自己?jiǎn)?dòng)一個(gè)新的程序,并把自己權(quán)限提升至root(我們前面提到su其實(shí)就是busybox,運(yùn)行期它的權(quán)限是root,當(dāng)然也有權(quán)限來(lái)提升自己的權(quán)限)。
再?gòu)?qiáng)調(diào)一下不光root手機(jī)上su需要設(shè)置SUID,所有的Linux系統(tǒng)上的su程序都需要設(shè)置SUID位。請(qǐng)參考一下UC服務(wù)器的su的權(quán)限情況:
我們發(fā)現(xiàn)su也設(shè)置了SUID位,這樣普通用戶也可以運(yùn)行su程序,su程序會(huì)驗(yàn)證root密碼,如果正確su程序可以把用戶權(quán)限提高的root(因?yàn)槠湓O(shè)置SUID位,運(yùn)行期是root權(quán)限,這樣其有權(quán)限提升自己的權(quán)限)。
這樣我們就可以看出其實(shí)Android系統(tǒng)的破解的根本原理就是替換掉系統(tǒng)中的su程序,因?yàn)橄到y(tǒng)中的默認(rèn)su程序需要驗(yàn)證實(shí)際用戶權(quán)限(只有root和 shell用戶才有權(quán)運(yùn)行系統(tǒng)默認(rèn)的su程序,其他用戶運(yùn)行都會(huì)返回錯(cuò)誤)。而破解后的su將不檢查實(shí)際用戶權(quán)限,這樣普通的用戶也將可以運(yùn)行su程序, 也可以通過(guò)su程序?qū)⒆约旱臋?quán)限提升。
到這里大家對(duì)root破解不感到神秘了吧。root破解沒有利用什么Linux內(nèi)核漏洞(Linux內(nèi)核不可能有這么大的漏洞存在),可以理解成root 破解就是在你系統(tǒng)中植入“木馬su”,說(shuō)它是“木馬”一點(diǎn)兒都不為過(guò),假如惡意程序在系統(tǒng)中運(yùn)行也可以通過(guò)su來(lái)提升自己的權(quán)限的這樣的結(jié)果將會(huì)是災(zāi)難性 的。所以一般情況下root過(guò)手機(jī)都會(huì)有一個(gè)SuperUser應(yīng)用程序來(lái)讓用戶管理允許誰(shuí)獲得root權(quán)限,也算是給系統(tǒng)加了一層保險(xiǎn)吧!
通過(guò)上文《Android系統(tǒng)root破解原理分析》 的介紹大家應(yīng)該明白了root破解過(guò)程的終極目標(biāo)是替換掉系統(tǒng)中的su程序。但是要想替換掉系統(tǒng)中su程序本身就是需要root權(quán)限的,怎樣在root破 解過(guò)程中獲得root權(quán)限,成為我們研究的重點(diǎn)了。下面我們先清點(diǎn)一下我們需要破解系統(tǒng)情況,假設(shè)需要破解的Android系統(tǒng)具備如下條件:
查看adb.c的adb_main函數(shù)你將會(huì)發(fā)現(xiàn)adbd中有如下代碼:
if (secure) {
......
然后我們?cè)俳榻B一下adbd在什么時(shí)候啟動(dòng)的呢?答案是在init.rc中配置的系統(tǒng)服務(wù),由init進(jìn)程啟動(dòng)。我們查看init.rc中有如下內(nèi)容:
這樣我們就可以引出root破解過(guò)程中獲得root權(quán)限的方法了,那就是讓以上面setgid和setuid函數(shù)執(zhí)行失敗,也就是降級(jí)失敗,那就繼續(xù)在root權(quán)限下面運(yùn)行了。
這其實(shí)利用了一個(gè)RageAgainstTheCage漏洞,具體分析請(qǐng)參考《Android adb setuid提權(quán)漏洞的分析》和《RageAgainstTheCage》。這里面做一個(gè)簡(jiǎn)單說(shuō)明:
2、adb工具創(chuàng)建的進(jìn)程ratc也運(yùn)行在shell用戶權(quán)限下;
3、ratc一直創(chuàng)建子進(jìn)程(ratc創(chuàng)建的子程序也 將會(huì)運(yùn)行在shell用戶權(quán)限下),緊接著子程序退出,形成僵尸進(jìn)程,占用shell用戶的進(jìn)程資源,直到到達(dá)shell用戶的進(jìn)程數(shù)為 RLIMIT_NPROC的時(shí)候(包括adbd、ratc及其子程序),這是ratc將會(huì)創(chuàng)建子進(jìn)程失敗。這時(shí)候殺掉adbd,adbd進(jìn)程因?yàn)槭?Android系統(tǒng)服務(wù),將會(huì)被Android系統(tǒng)自動(dòng)重啟,這時(shí)候ratc也在競(jìng)爭(zhēng)產(chǎn)生子程序。在adbd程序執(zhí)行上面setgid和setuid之 前,ratc已經(jīng)創(chuàng)建了一個(gè)新的子進(jìn)程,那么shell用戶的進(jìn)程限額已經(jīng)達(dá)到,則adbd進(jìn)程執(zhí)行setgid和setuid將會(huì)失敗。根據(jù)代碼我們發(fā) 現(xiàn)失敗之后adbd將會(huì)繼續(xù)執(zhí)行。這樣adbd進(jìn)程將會(huì)運(yùn)行在root權(quán)限下面了。
3、這是重新用adb連接設(shè)備,則adb將會(huì)運(yùn)行在root權(quán)限下面了。
其實(shí)堵住adbd的這個(gè)漏洞其實(shí)也挺簡(jiǎn)單的:
if (setuid(AID_SHELL) != 0) {
exit(1);
}
至此我們把root的過(guò)程和root之后系統(tǒng)情況都進(jìn)行了介紹,相信你也不會(huì)對(duì)root破解再神秘了吧!
新聞熱點(diǎn)
疑難解答
圖片精選
