Android 4.3 安全提升,Set-UID-Root 权限提升不再起作用,原先的ROOT方法将失效

最新推荐文章于 2023-09-28 17:24:46 发布
置顶 最新推荐文章于 2023-09-28 17:24:46 发布
阅读量2.5k 收藏 1
点赞数 2
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nicefuture/article/details/9465635
版权

Android目前的ROOT的基本原理,是通过系统漏洞获取ROOT SHELL权限,然后往手机里面push 最核心的两个文件,su可执行文件和superUSer.apk。 后者用于管理对应用的授权,而前者则真正用来提升权限至ROOT。 当APK需要进行高权限操作时,使用Shell方式进行: su xxxxx 即可,此时(假设用户授权了,通过superUser.apk)xxxx的命令就会以ROOT用户权限方式执行。

之所以push到手机中的su可以提升权限,其核心原理是su是Set-UID-Root的。具体原理分析,可参见本博客的 关于ROOT原理的文档,说明的非常详细了。


但是,在Android4.3中,从如下的open Source Code :

dalvik_system_Zygote.cpp-》forkAndSpecializeCommon:


  1. #ifdef HAVE_ANDROID_OS
  2. extern int gMallocLeakZygoteChild;
  3. gMallocLeakZygoteChild = 1;

  5. /* keep caps across UID change, unless we're staying root */
  6. if (uid != 0) {
  7. err = prctl(PR_SET_KEEPCAPS, 1, 0, 0, 0);

  9. if (err < 0) {
  10. ALOGE("cannot PR_SET_KEEPCAPS: %s", strerror(errno));
  11. dvmAbort();
  12. }
  13. }

  15. for (int i = 0; prctl(PR_CAPBSET_READ, i, 0, 0, 0) >= 0; i++) {
  16. err = prctl(PR_CAPBSET_DROP, i, 0, 0, 0);
  17. if (err < 0) {
  18. if (errno == EINVAL) {
  19. ALOGW("PR_CAPBSET_DROP %d failed: %s. "
  20. "Please make sure your kernel is compiled with "
  21. "file capabilities support enabled.",
  22. i, strerror(errno));
  23. } else {
  24. ALOGE("PR_CAPBSET_DROP %d failed: %s.", i, strerror(errno));
  25. dvmAbort();
  26. }
  27. }
  28. }

  30. #endif /* HAVE_ANDROID_OS */

注意红色斜体的代码,这是4.3新加入的。新加入的这些代码,会导致set-uid-root不再起作用,也就是,原先的ROOT方案中的su+superUser.apk的模式不再工作了!!黑客们需要重新考虑新的ROOT方案了!360,腾讯等等一系列使用了ROOT权限的应用需要等待新的ROOT方案然后基于新的ROOT方案来调整提升权限的方式了,SU不再起作用了。


这里简单说明一下原因,详细的请参见Linux的Capacity机制。  


Android中每个APK的进程是Zygote Fork出来的,默认Fork出来的进程的Real UID和EUID都是继承自Zygote,也就是ROOT,然后,Zygote会对子进程做一些特殊处理,上面的红色斜体代码的作用是,在新Fork的APK进程中Drop掉所有的BoundSet Capacity,原本Zygote的BoundSet Capacity是全1,然后在APK的子进程中主动的Drop掉所有的这些Capacity,接着会再调用setUID/SetGID将APK进程的UID/GID从ROOT修改为App安装时分配的ID(权限退化)。 

这样,你会看到,APK所在的进程的UID/GID退化成非ROOT了,原本还能通过su来提升权限。但是,4.3里面连所有的BoundsetCapacity也全部Drop掉了,里面包含的SETUID的capacity也Drop了,这样就导致,在APK所在的进程以及任意其子进程中,都无法修改UID了,即便通过set-UID-Root方式也无法修改了。

nicefuture
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
环境变量与SET-UID实验.pdf
10-10
SEED Labs是一套完整的信息安全实验,涵盖本科信息安全教学中的大部分基本原理,可用于提高学生体验式学习的实验室练习。
setcap 赋予权限的应用
huangling07031190的专栏
03-17 2930
cap的示例代码: 在子进程(app)中可以把需要的cap设置好,然后再调用setuid权限切换到app0,关键是切换之前要调用prctl(PR_SET_KEEPCAPS, 1, 0, 0, 0); 否则setuid之后原先设置好的cap都会被清空 #include <sys/capability.h> #include <sys/types.h> #include <stdio.h> #include <stdlib.h> #include <un
Linux中的SetUidcapability权能机制
zhaominyong的专栏
02-22 1232
Linux中的SetUidcapability权能机制
apk获取system权限root权限
淡淡的宁静的博客
01-09 5564
获取system权限: 1.在manifest的manifest标签中加入属性:android:sharedUserId="android.uid.system"   同一个uid可以像在同一进程一样可以互相访问资源,拥有同样的权限,但是必须使用相同的密钥签名 2.在Android.mk中加入LOCAL_CERTIFICATE := platform    指定LOCAL_CERTIFIC
Android程序的安全系统
weixin_30299709的博客
11-13 80
Android程序的安全系统 Android框架是基于Linux内核构建,所以Android安全系统也是基于Linux的安全架构建立的。在Linux安全系统中,用户和组 起着重要的作用,Linux中所有的资源给不同的用户和用户组设置了不同的访问属性。如果你对Linux下面用户和组的概念不熟悉,请先补习一下 Linux基础知识。 在Androi...
Android系统权限root权限
大木星的某卫星上的小角落
03-19 834
Android系统权限root权限 1. Android权限说明     Android系统是运行在Linux内核上的,Android与Linux分别有自己的一套严格的安全权限机制,Android系统权限相关的内容,(一)linux文件系统上的权限-rwxr-x--x system   system       4156 2012-06-30 16:12 test.apk.    代表的是相应...
东南大学网络空间安全实验基础——环境变量和Set-UID程序实验
07-07
此资源包含完整实验报告(加上你的学号姓名即可提交)
zImage-nfs-root.rar_ NFS-RO_ROOT_nfs-kernel-server_zimage
09-23
基于2410的内核镜像,可以通过NFS启动系统,在vivi设置好启动参数param set linux_cmd_line "noinitrd root=/dev/nfs init=/linuxrc nfsroot=192.168.0.33:/nfs/rc900-rootfs ip=192.168.0.67:192.168.0.33:192.168....
Set-UID机制
01-07
Set-UID是Unix系统中一个重要的安全机制。当一个Set-UID程序运行的时候,它被假设为具有拥有者的权限。例如,如果程序的拥有者是root,那么任何人运行这个程序时都会获得程序拥有者的权限。 从上面可以看出,将...
Set-UID原理及漏洞攻击实验详细过程及实验报告
12-13
信息安全课程的一个实验,剖析了setuid程序的原理、漏洞攻击以及预防,详细展示了如何通过setuid程序漏洞获得root权限,资源中包括实验描述,实验的详细过程、截图及说明。
申请system权限
chun1234567的专栏
10-20 359
prctl(PR_SET_KEEPCAPS, 1, 0, 0, 0);     int err = setuid(AID_SYSTEM);     if(err != 0)     {         LOGI("change uid to system failed:%s", strerror(errno));     }     struct __user_cap_header
Linux 安全 - Capabilities机制
最新发布
小立仔
09-28 1245
Linux 安全 - Capabilities机制简介
prctl系统调用
嵌入式
04-03 1762
<br />可以实现对进程的一个操作。<br /> #include <sys/prctl.h><br /><br />        int prctl(int option, unsigned long arg2, unsigned long arg3,<br />                  unsigned long arg4, unsigned long arg5);<br /><br />  PR_CAPBSET_READ<br />PR_CAPBSET_DROP<br /> <br
linux prctl函数,prctl()函数 Unix/Linux
weixin_28882565的博客
05-06 473
prctl -在操作过程内容简介#include int prctl(intoption, unsigned longarg2, unsigned longarg3, unsigned longarg4, unsigned longarg5);描述prctl() is called with a first argument describing what to do (with values ...
Android8.1 将su修改为taxiao,user版本可用
他晓
05-23 415
aosp,su,root,selinux,sepolicy
AndroidP应用uid的设置过程
zcyxiaxi的博客
08-18 1274
目前有个项目,希望部分应用能运行在system uid下,但是这部分应用是第三方的,我们无法去修改这些应用的属性,因此考虑在framework层对这些特定的应用进行处理。 应用uid的设置 我们先从底层去找起,看看应用的uid是如何设置下来的。 Android的Java应用基本都是通过ZygoteProcess来启动一个新的process: // frameworks/base/core/java/android/os/ZygoteProcess.j...
Android安全Android root原理及方案 | Magisk原理
热门推荐
Juruo@Security
05-27 1万+
Android root原理及方案 | Magisk原理 | su文件
android.uid.root,Android UID的分配、查看及相关知识
weixin_35315373的博客
05-27 654
uid pid gid gids 的含义和作用uid 的分配查看应用UID 的几种方式通过uid获取包名,通过包名获取uid下面所有涉及的示例代码都是基于 Android 8.1的。1. uid pid gid gids 的含义和作用uid: androiduid用于标识一个应用程序,uid在应用安装时被分配,并且在应用存在于手机上期间,都不会改变。一个应用程序只能有一个uid...
android root权限函数,android 4.4下app永久获取root权限方法
weixin_39614637的博客
05-25 651
本帖最后由 jackson 于 2017-4-16 20:55 编辑通过参照[FAQ11414]android KK 4.4 版本后,user 版本su 权限严重被限制问题说明http://www.voidcn.com/blog/wds1181977/article/p-6157006.html明确要修改三个地方:(1)把dalvik/vm/native/dalvik_system_Zygote....
头歌set-uid漏洞实验
09-01
头歌(set-uid)漏洞实验就是通过利用set-uid权限提升权限执行恶意代码,以获取系统的其他权限。 实验的步骤如下: 1. 创建一个普通用户,并设置其set-uid权限,即使用chmod命令将文件的SUID位设置为1(例如:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值