浅析adbd setuid

最新推荐文章于 2023-09-17 14:56:24 发布
最新推荐文章于 2023-09-17 14:56:24 发布
阅读量1k 收藏 1
点赞数
分类专栏: Android安全-Root漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/py_panyu/article/details/45224627
版权
本文详细分析了Android ADB守护进程(adbd)在降权过程中的setuid漏洞,指出在特定版本中,当shell用户进程数达到上限时,setuid失败未被检测,导致adbd以root权限继续运行,存在安全隐患。并介绍了漏洞利用步骤,以及修复方案的参考资料。
摘要由CSDN通过智能技术生成

 

 

0x1 漏洞描述

 

 

ADB守护进程(adbd进程)以root权限开始启动,然后降权到shell用户.在Android2.2及以前的版本中,ADB守护进程在降权时不会检查setuid调用的返回值.

 

 

0x2 代码分析

 

//在漏洞最初被发现时,代码如下:
setgid(AID_SHELL);
setuid(AID_SHELL);

 

代码没有检测setuid的返回值.在此之前,adb.c中的代码都是以root权限运行,以完成部分初始化工作.通过调用setuid()将用户从root切换回shell,但setuid()在shell用户进程数达到上限RLIMIT_NPROC时,会失败,因此adb.c继续以root身份运行,而没有报错.

 

 

 

0x3 如何利用

 

利用程序一直fork进程直至fork调用失败,这意味着该用户的进程创建数已经到达极限.这是内核实施的强制限制,称为RLIMIT_NPROC,它指定了可以为调用进程的真实ID创建的最大进程数.在这一时间点上,漏洞利用程序杀掉adbd,导致它以root权限重新启动.这时adbd无法降权到shell,因为对于shell用户的进程限制已经达到了.setuid调用会失败,但是adbd并不检测这个失败,所以仍然继续以root权限运行.

 

 

 

if (fork() == 0) 
{
		close(pepe[0]);
		for (;;) 
		{
			if ((p = fork()) == 0) 
			{
				exit(0);
			} 
			else if (p < 0)
最低0.47元/天 解锁文章
少仲_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android adb setuid提权漏洞的分析(转)
weixin_30940783的博客
08-29 305
原文:http://blog.claudxiao.net/2011/04/android-adb-setuid/ 去年的Android adb setuid提权漏洞被用于各类root刷机,漏洞发现人Sebastian Krahmer公布的利用工具RageAgainstTheCage(rageagainstthecage-arm5.bin)被用于z4root等提权工具、Trojan.Android...
Root exploit for Android (adb setuid)
莫灰灰的专栏
07-02 4483
/* 本文章由 莫灰灰 编写,转载请注明出处。   作者:莫灰灰    邮箱: minzhenfei@163.com */ 1. 漏洞分析 这是个很老的漏洞了,主要利用adb启动的时候调用setuid函数降到shell权限,却没有判断setuid返回失败的情况,因此造成了root的可能 如下是已经修复漏洞后的代码: 原本的代码大致如下: setgid(A
Linux Setuid(SUID)和Setgid(SGID) sticky bit
weixin_30439031的博客
01-02 134
http://www.php100.com/html/webkaifa/Linux/2010/0812/6392.html  1、setuid和setgid的解说   setuid和setgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。比如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件,我们知道...
Linux权限管理:深入理解setuid、setgid、seteuid和setegid
最新发布
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
09-17 1165
一个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组, 一般为文件所有者所属的组. 如果是一个可执行文件, 那么在执行时, 一般该文件只拥有调用该文件的用户具有的权限. 而setuid, setgid 可以来改变这种设置.
Linux Setuid和Setgid
weixin_34029680的博客
08-12 148
1、 setuid和setgid的解说 setuid 和setgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。比 如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件我们知道/etc/passwd文件是用户管理的 配置文件,只有root权限的用户才能更改 [root@loca...
adbd.rar adbd.apk 改名使用
06-05
标题中的"adbd.rar adbd.apk 改名使用"涉及到的是Android系统中一个关键的组件——adbd(Android Debug Bridge daemon),它是一个守护进程,主要用于开发者调试Android设备。adbd是adb(Android Debug Bridge)的一...
天猫精灵里面的ADBD可执行程序
05-27
而“ADBD”全称为“Android Debug Bridge”,是安卓系统中一个重要的工具,它在天猫精灵这样的设备中也有应用。下面将详细解释ADBD及其在天猫精灵中的作用。 ADBD是Android开发环境中的一个重要组成部分,它作为一...
adbd Insecure 2.0
01-07
adbd Insecure(超级adbd)能让您在已经ROOT的设备上强制以ROOT模式运行adbd(注意,如果您运行的是第三方内核,则可能已经具备了这项功能)。如果您的设备上运行的是原生(设备制造商的)内核,那么adbd就会以...
adbd-Insecure.apk
03-02
【标题】"adbd-Insecure.apk" 是一个Android设备上的应用程序,它的全名是"Android Debug Bridge不安全版"。这个程序与Android系统中的adb(Android Debug Bridge)工具密切相关,但其安全性可能存在隐患。 【描述...
系统添加自定义的UID android4.4
zjy764219923的专栏
11-02 1167
1、简介 根据业务需要,需要系统自定义UID,设置相应的权限。 2、修改系统,自定义UI 1)、添加UID: 在src/LINUX/android/frameworks/base/core/java/android/os/Process.java中自定义int类型的,静态常量:MCWILL_UID @@ -144,6 +144,7 @@publicclassProcess...
adb shell 执行后台程序后断开adb后台进程被结束的解决办法
u013463707的专栏
11-27 8917
环境:Android 版本 Android8 通常让程序后台执行就是在命令 最后加上 &即可,但是在Android 8上实验发现,程序的确后台了,但是拔掉USB线再连接上发现进程已结束。不确定Android早期版本是否存在此问题。 参考网上一些Linux方法,如加nohup 仍然无效,还是会结束。看来Android adb shell 与 Linux shell 还是有一定区别。 后...
Android Framework-Android启动过程
jifashihan的博客
03-06 652
对《深入理解Android内核设计思想(第2版)》 Android启动过程进行整理
user版本不能使用adb问题
kc58236582的博客
12-07 7675
最近碰到一个问题user版本不能使用adb问题。这个问题涉及到adbd和Usb相关的service代码。 一、adbd 我们先看看adbd对user版本的代码: 首先在adb_main函数中有如下代码,当ro.adb.secure属性为0的时候auth_required 变量为false。这个时候一般是debug版本(不会设置这个属性或者这个属性为0) if (ALLOW_
Linux下Setuid命令!
全世界的屋顶
12-16 2万+
在Linux系统中每个普通用户都可以更改自己的密码,这是合理的设置。 问题是:用户的信息保存在文件/etc/passwd中,用户的密码保存在文件/etc/shadow中,也就是说用户更改自己密码时是修改了/etc/shadow文件中的加密密码,但是, -rw-r--r-- 1 root root 1787 Oct 27  2009 /etc/passwd -r-------- 1 root
adbadbd分析
热门推荐
viewsky11的专栏
12-26 3万+
adb中有三个模块,分别是adbd,adb server,adb client,如下表所示: module name process name run as adbd adbd device/emulator adb server windows: adb.exe linux: adb client adb client such as eclipse,
android系统UID定义
开发资料记录室
03-09 7938
源码目录:system\core\include\private\Android_filesystem_config.h /* * Copyright (C) 2007 The Android Open Source Project * * Licensed under the Apache License, Version 2.0 (the "License"); * you
Android中ADB-server、ADB-client和adbd的简介
nicholas_duan的博客
08-20 7067
Android中ADB-server、ADB-client和adbd的简介 来源 AI 时间1年前 本站文章,部分收集于互联网,若有侵权问题敬请告知,谢谢 本文主要是介绍Android中Android Debug Bridge调试桥的分类,ADB-server是运行下PC端的后台服务进程;ADB-client是运行在PC端的多个客户端进程,主要与ADB-server交互;adbd是运行在Android设备的服务进行程,主要是接收ADB-server发来的请求和处理操作。 ...
adb指令通过uid控制_Android 常用 adb 命令总结
weixin_39755625的博客
10-22 343
针对移动端 Android 的测试, adb 命令是很重要的一个点,必须将常用的 adb 命令熟记于心, 将会为 Android 测试带来很大的方便,其中很多命令将会用于自动化测试的脚本当中。Android Debug Bridgeadb 其实就是 Android Debug Bridge, Android 调试桥的缩写,adb 是一个 C/S 架构的命令行工具,主要由 3 部分组成:运行在 PC...
adbd stop adbd&
09-09
如果你想通过命令adbd stop adbd来停止adbd服务,这是无效的。[1]如果你的手机已经root,但无法通过adb root命令以root权限执行adbd,你可以尝试安装adbd Insecure,并再次尝试adb root命令。另外,要连接到设备的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值