1. http://www.claudxiao.net/2011/04/android-adb-setuid/
该方法主要是利用每个用户可以创建的最大进程数和setuid在已创建最大进程数时,返回失败,而代码不检查返回值的缺陷来实现的。
代码漏洞在android 4.0上已经不存在,我查看了代码,在修改权限失败之后,adb进程直接exit
所以我在用示例代码在android 4.0上尝试获取root权限时,在最后等待adb重启时会出现失败,并且adb shell一直进不去,也是这个原因。
启示: a) 代码不检查返回值是一个很不好的习惯
b) 这种缺陷的发现和数学中临界值的考虑是一样的
2. http://blog.claudxiao.net/2011/10/zergrush/
该例子在android 2.3上有效,是典型的缓冲区溢出的利用思路。
在原本的跳转点(return,通过栈缓冲计算,典型的X86和ARM是形参入栈地址+8,特殊指令集除外)植入shell code。
因为shell code是系统调用system执行的,这样在子进程里执行shell code时有root权限,只要对植入shell code做一些操作,就能获取相应的权限。
PS: 该方法在android 4.1以上应该是不行(猜测需要变通),4.0未知。android4.1(c库)以及对应的内核3.4在编译上通过GCC的guard机制,
能有效的检查栈溢出的情况而及时对其跳转,从而避免运行植入的shell code。
启示:写函数时要小心栈溢出。
关于android获取root权限的方法
最新推荐文章于 2024-06-27 09:53:52 发布