MIUI的root权限管理分析

最新推荐文章于 2024-07-19 20:36:13 发布
最新推荐文章于 2024-07-19 20:36:13 发布
阅读量3.8k 收藏
点赞数
分类专栏: android 安全
一、授权管理

       MIUI中对与root权限的管理和控制通过两个模块实现:
       su 这是一个ELF可执行文件,在系统中的路径为/system/bin/su
       Superuser.apk(Superuser.odex) 授权管理app
       MIUI中的app提权到root的一般过程为:

          某个app通过Runtime.getRuntime().exec()方法执行提权命令”su [options]“
          su被执行,将待提权app的相关信息以广播的形式发送出去,并开启local socket服务端等待客户端连接
          Superuser.apk中的广播接收器接受到su发送的广播,获得用户的设置,然后将结果通过local socket返回给su

          su根据Socket客户端发来的结果继续或者终止提权过程


二、问题定位


      由于MIUI的su不容易被逆向分析,所以从分析Superuser.apk(Superuser.odex)入手。MIUI将系统应用程序(/sysetm/app目录下)apk文件中的classes.dex提取出来,进行优化得到odex文件,也存放到/system/app目录下。例如,Superuser这个app就分为两个部分,Superuser.apk和Superuser.odex,与典型的apk文件不同,Superuser.apk中已没有classes.dex了。

     查看Superuser.apk中的AndroidManifest.xml,看到了一个比较关键的BroadcastReceiver:

[html]  view plain copy
  1. <span style="font-size:12px;"><?xml version="1.0" encoding="utf-8"?>  
  2. <manifest android:versionCode="24" android:versionName="2.3.6"  
  3.     package="com.miui.uac"  
  4.     xmlns:android="http://schemas.android.com/apk/res/android">  
  5.         ...  
  6.         <receiver android:name="SuRequestReceiver">  
  7.             <intent-filter>  
  8.                 <action android:name="com.miui.uac.REQUEST" />  
  9.             </intent-filter>  
  10.         </receiver>  
  11.         ...  
  12.         <uses-permission android:name="com.miui.uac.RESPOND" />  
  13.         <permission  
  14.             android:label="@string/permlab_respond"  
  15.             android:name="com.miui.uac.RESPOND"  
  16.             android:protectionLevel="signature"  
  17.             android:permissionGroup="android.permission-group.SYSTEM_TOOLS"  
  18.             android:description="@string/permdesc_respond" /></span>  

     根据名字大概可以判断,su发来的广播会被此receiver接受并进行处理(后面查看它的smali代码也验证了这个判断)。值得注意的是,这个receiver是对外暴露的,而且    看起来没有受到任何权限的保护。如何利用这一点,有两个思路:

        伪造广播,看能否有”意外”作用
        伪造广播接收器,实现广播监听或者劫持(虽然从AndroidManifest.xml中来看,com.miui.uac.RESPOND权限可能会成为一个障碍)


(1)伪造广播

   尝试使用am发送一条空广播:
   $ adb shell am broadcast -a com.miui.uac.REQUEST
   授权管理app崩溃了。
   查看log发现广播接收器中的数据库查询语句出了问题,应该是缺少参数导致的。看来伪造广播并发送是可行的,但是在此之前,要找到合适的广播参数,让授权管理app不会崩溃。使用baksmali反编译Superuser.apk查看com/miui/uac/SuRequestReceiver.smali的代码:

[html]  view plain copy
  1. <span style="font-size:12px;">.method public onReceive(Landroid/content/Context;Landroid/content/Intent;)V  
  2.     const/4 v2, 0x0  
  3.     const-string v0, "caller_uid" #从intent中得到caller_uid  
  4.     invoke-virtual {p2, v0, v2}, Landroid/content/Intent;->getIntExtra(Ljava/lang/String;I)I  
  5.     move-result v0  
  6.   
  7.     const-string v1, "desired_uid" #从intent中得到desired_uid  
  8.     invoke-virtual {p2, v1, v2}, Landroid/content/Intent;->getIntExtra(Ljava/lang/String;I)I  
  9.     move-result v1  
  10.   
  11.     const-string v2, "desired_cmd" #从intent中得到desired_cmd  
  12.     invoke-virtual {p2, v2}, Landroid/content/Intent;->getStringExtra(Ljava/lang/String;)Ljava/lang/String;  
  13.     move-result-object v2  
  14.   
  15.     const-string v3, "socket" #从intent中得到socket  
  16.     invoke-virtual {p2, v3}, Landroid/content/Intent;->getStringExtra(Ljava/lang/String;)Ljava/lang/String;  
  17.     move-result-object v3  
  18.   
  19.     # 从数据库中查询当前app权限配置  
  20.     new-instance v4, Lcom/miui/uac/DBHelper;  
  21.     invoke-direct {v4, p1}, Lcom/miui/uac/DBHelper;->(Landroid/content/Context;)V  
  22.     invoke-virtual {v4, v0, v1, v2}, Lcom/miui/uac/DBHelper;->checkApp(IILjava/lang/String;)Lcom/miui/uac/AppDetails;  
  23.     move-result-object v0  
  24.     invoke-virtual {v0}, Lcom/miui/uac/AppDetails;->getAllow()I  
  25.     move-result v1  
  26.   
  27.     const/4 v2, -0x1  
  28.     if-ne v1, v2, :cond_3f  
  29.   
  30.     # 弹框提示用户允许/拒绝当前app提权  
  31.     new-instance v0, Landroid/content/Intent;  
  32.     const-class v1, Lcom/miui/uac/SuRequest;  
  33.     invoke-direct {v0, p1, v1}, Landroid/content/Intent;->(Landroid/content/Context;Ljava/lang/Class;)V  
  34.     invoke-virtual {v0, p2}, Landroid/content/Intent;->putExtras(Landroid/content/Intent;)Landroid/content/Intent;  
  35.     const/high16 v1, 0x1000  
  36.     invoke-virtual {v0, v1}, Landroid/content/Intent;->addFlags(I)Landroid/content/Intent;  
  37.     invoke-virtual {p1, v0}, Landroid/content/Context;->startActivity(Landroid/content/Intent;)V  
  38.   
  39.     :goto_3b  
  40.     invoke-virtual {v4}, Lcom/miui/uac/DBHelper;->close()V  
  41.     return-void  
  42.   
  43.     :cond_3f  
  44.     # 返回结果给su  
  45.     invoke-static {p1, v0, v3}, Lcom/miui/uac/ResponseHelper;->sendResult(Landroid/content/Context;Lcom/miui/uac/AppDetails;Ljava/lang/String;)V  
  46.     goto :goto_3b  
  47. .end method</span>  
    根据smali代码,可以看到intent传递过来的广播参数一共有四个,key分别为caller_uid, desired_uid, desired_cmd, socket,值依次存储在寄存器v0~v3中。DBHelper进行数据库操作时,并没有涉及到寄存器v3,因此,只要在构造的广播中加入前三个参数,也就是caller_uid, desired_uid, desired_cmd即可。
caller_uid, desired_uid很容易明白, 但是desired_cmd是什么形式的就难以琢磨了。不过既然在数据库操作中把desired_cmd传递过去了,先看看数据库中有没有相关信息。

在/data/data/com.miui.uac/databases中有一个数据库文件permissions.sqlite,其中有三个表:

[html]  view plain copy
  1. <span style="font-size:12px;"># pwd  
  2. /datadata/com.miui.uac/databases  
  3. # ls -l  
  4. -rw-rw----    1 app_32   app_32      288768 Jan 21 17:01 permissions.sqlite  
  5. # sqlite3 permissions.sqlite  
  6. sqlite> .tables  
  7. android_metadata  apps              logs              prefs             
  8. sqlite> .schema apps   
  9. CREATE TABLE apps (_id INTEGER, uid INTEGER, package TEXT, name TEXT,   
  10.     exec_uid INTEGER, exec_cmd TEXT, allow INTEGER, PRIMARY KEY (_id),   
  11.     UNIQUE (uid,exec_uid,exec_cmd));  
  12. sqlite> select * from apps;  
  13. 1|10058|jackpal.androidterm|终端模拟器|0|/system/bin/sh|1</span>  

结合apps表的schema和其中的内容,exec_uid对应前面提到的desired_uid,exec_cmd对应前面提到的desired_cmd。因此,把desired_cmd设置为”/system/bin/sh”就行了。(后来发现,只要不是空字符串就行……)构造以下广播:

[html]  view plain copy
  1. <span style="font-size:12px;">$ adb shell am broadcast -a com.miui.uac.REQUEST \  
  2. > --ei caller_uid 10051  --ei desired_uid 0 --es desired_cmd "/system/bin/sh"</span>  

被成功接收,并且授权管理app弹出对话框提示用户进行授权。
使用代码实现的话也比较简单:

[html]  view plain copy
  1. <span style="font-size:12px;">        Intent it = new Intent();  
  2.         it.setAction("com.miui.uac.REQUEST");  
  3. //      ComponentName c = new ComponentName("com.miui.uac", "com.miui.uac.SuRequestReceiver");  
  4. //      it.setComponent(c);  
  5.         it.putExtra("caller_uid", 10051);  
  6.         it.putExtra("desired_uid", 0);  
  7.         it.putExtra("desired_cmd", "/system/bin/sh");  
  8.            
  9.         getApplicationContext().sendBroadcast(it);</span>  
   (2)伪造广播接收器

         自己写一个app注册广播接收器net.yurushao.uactest.FakeSuRequestReceiver:


[html]  view plain copy
  1. <span style="font-size:12px;"><receiver android:name=".FakeSuRequestReceiver" >  
  2.     <intent-filter>  
  3.         <action android:name="com.miui.uac.REQUEST" />  
  4.     </intent-filter>  
  5. </receiver></span>  
[html]  view plain copy
  1. <span style="font-size:12px;">public class FakeSuRequestReceiver extends BroadcastReceiver {  
  2.     @Override  
  3.     public void onReceive(Context arg0, Intent arg1) {  
  4.         // TODO Auto-generated method stub        
  5.         System.out.println(arg1.getAction());     
  6.     }  
  7. }</span>  

选取某个正常app进行提权时,FakeSuRequestReceiver没有任何反应。查看log发现:

Permission Denial: receiving Intent { act=com.miui.uac.REQUEST (has extras) } 
to net.yurushao.uactest requires com.miui.uac.RESPOND due to sender null (uid 0)
没有com.miui.uac.RESPOND权限,而这个权限是受签名保护的,因此对su发出广播的监听和劫持都是无法实现。

三、 总结

   su发送 的广播可以被伪造,但是不可以被监听或者劫持。至于对广播的伪造,除了能引起授权管理app的崩溃,还没有发现可以被利用的地方。
thinkinwm
关注
专栏目录
小米手机刷机&ROOT原理
pcsxk的专栏
01-02 3143
刷机&ROOT涉及到的工具有: 原版线刷包 (fastboot包) SuperSU TWRP(一个三方的Recovery Image, 注意选对型号) Android Image Kitchen XiaoMiFlash(其实是adb&fastboot的一个GUI外挂) MiFlash Unlock(小米手机bootloader解锁工具) 其实就是标准的fastboot oem lock &
android 程序root权限管理,手机root之后进行软件程序授权管理 手机root权限管理方法...
weixin_29224529的博客
05-26 2279
很多智能手机都会进行刷机,获取ROOT权限,但是如果没有进行正确的软件程序授权设置的话,使用起来跟没有ROOT之前是一样的,没办法获得软件程序的最高权限,软件也是没办法使用的。因此,今天,我们就一起来了解一下手机root之后进行权限管理的方法!授权管理大家在ROOT之后如何设置好ROOT权限呢,是不是root了就不用管,所有程序都具有了最高权限,这肯定不是的,下面就教大家如何给一个程序授权最高管理...
miui 开启 root权限 方法
LionBule
10-02 446
桌面有个“系统工具”文件夹,找到“授权管理”。   然后点击“menu”--&gt; "设置"--&gt;"root权限开启"。   最后再重启系统。哦了~!    
MIUI系统如何获取ROOT权限
weixin_30443895的博客
01-12 527
MIUI系统有么好方法启用了Root超级权限?各位都清楚,Android手机有Root超级权限,一旦手机启用了root相关权限,就能够实现更多的功能,举例子,各位公司的营销部门的同事,使用大多数营销工具都需要在Root超级权限下工作,如果手机无能获的root的权限,则无法正常使用相应的功能。MIUI系统开发版系统自身拥有root权限管理工具,但是,如果你使用的是MIUI系统稳定版,建议可以先将MI...
root+magisk+所有手机获取root权限通用教程
03-12
【标题】"root+magisk+所有手机获取root权限通用教程"揭示了本文将要讨论的核心内容:如何使用Magisk工具...最后,他们可以使用Magisk Manager应用程序来管理root权限和安装各种Magisk模块,以进一步自定义和优化设备。
小米手机无需刷入Recovery获取Root权限工具包
09-05
然而,有一种方法可以无需刷入第三方Recovery就能获得Root权限,这就是“小米手机无需刷入Recovery获取Root权限工具包”所解决的问题。 这个工具包主要包含两个关键部分:一是获取Root权限的工具,二是提取boot.img...
miui恢复root权限,miui9 root权限
h824015249的博客
01-12 1102
成功解锁Bootloader后,我们就可以再次进入“安全中心”-“权限”-“ROOT权限说明“界面,根据提示完成ROOT权限的开启操作。4、开启“开发者选项”功能:进入小米手机“设置”-“我的设备”-“全部参数”界面,连续点击“MIUI版本号”七次即可开启“开发者选项”功能。打开小米手机“安全中心”界面,在“应用管理”界面中找到“权限”按钮点击进入。5、通过“设置”-“更多设置”-“开发者选项”-“设备解锁”界面,在此就可以找到“绑定设备”项,并登录小米账户完成设备绑定操作。
小米路由器mini丢失SN无法获取root权限怎么办?
10-01
小米路由器mini是一款受到许多技术爱好者喜爱的智能路由器,其SN(序列号)对于设备的身份验证、获取root权限以及通过SSH远程管理至关重要。当SN丢失时,可能会导致无法进行一系列高级操作,如安装第三方固件和系统...
MIUILevelChecker:帮助你查看自己的摘要在MIUI 12.5上的分级
03-04
MIUILevelChecker 帮助你查看自己的尺度在MIUI 12.5上的分级
Android Root设备中的su权限获取和使用详解
01-20
ROOT权限简介: ROOT权限是Linux内核中的最高权限,如果你的身份是ROOT,那么你就具有了ROOT权限。有了最高权限,你就可以为所欲为,换句话说,如果恶意程序获取到了ROOT权限,那么就可以肆意地破坏你的手机,获取的隐私…所以厂商一般在生产手机的时候,不会提供给用户ROOT权限,官方宣称是为了保护用户手机的安全,然后装了一堆开机自动启动,而用户这辈子也用不到也卸载不了垃圾软件(相信使用安卓的同学们都懂我的意思),而苹果所说的越狱,也就是获取ROOT权限。 为什么需要获取ROOT权限? 苹果用户获取ROOT权限,是为了可以免费安装各种软件,以及为了获取更加灵活的操作体验,苹果不会
MPInfoCheck v1.0.1.0中文版.rar
09-02
软件介绍: UT163, UT165量产设置检测工具MPInfoCheck v1.0.1.0可检测量产软件版本、量产时间、SN号、主控/FLASH ID/CACHEPROGRAM/COPYBACK/PLANE/读写周期/老化/ECC BIT数
给小米/红米手机root(工具基本都是官方的)——magisk篇
热门推荐
weixin_73636162的博客
10-25 5万+
我撰写了这篇详细的小米手机root教程,目的是将我在root过程中积累的丰富经验与读者分享,让大家能顺利地完成小米手机的root。在文中,我详细记录了准备工作、解锁BootLoader、下载Magisk等每一个步骤,并配有大量截图,使复杂的操作变得简单易行。同时,根据自己的根式经历,特别提醒读者注意刷机和root的风险,需要谨慎操作,以免对手机造成损坏。
MIUI7系统怎么获得Root超级权限的经验
weixin_34208283的博客
01-05 543
MIUI7系统怎么样获取了root超级权限?各位都了解,Android系统有root超级权限,一旦手机获取了root相关权限,能够实现更完美的功能,举个例子,各位单位的营销部门的同事,使用某些营销应用都需要在root超级权限下工作,如果手机无能获的root的权限,就无法正常使用相应的功能。MIUI7系统开发版系统自身具备root权限管理工具,如果你使用的是MIUI7系统稳定版,则可以先将MIUI...
超简单的小米手机root方法
最新发布
soleiltree的博客
07-19 5921
超简单的小米手机root方法
带你用最简单的方式获得小米完整root权限(无需刷第三方rom)
AprilsHell的博客
06-01 5万+
前提 小米手机已经解锁并且刷入开发版,在安全中心打开root。 下载adb adb工具即Android Debug Bridge(Android调试桥),用这个工具可以直接操作管理android模拟器或android设备……好了这不是今天的主要内容。链接在此: http://adbshell.com/downloads 压缩包里面是 这个样子 解压,然后去C:\Windows\System32...
小米(MIUIROOT线刷教程
weixin_65797731的博客
11-21 1万+
1.不论是root还是刷入第三方或外版的rom都需要解锁bl锁这是最重要的一点。首先打开手机设置,登录或注册你的小米账户,点击我的设备下拉找到全部参数进入找到MIUI版本连续点击7下打开开发者选项。返回到设置中下拉找到更多设置点击进入打开开发者选项中找到设备解锁状态点击并按照提示操作绑定你的账号,绑定完成后等待7天。2.下载小米解锁工具机下载完成将其解压至桌面。进入解压文件夹双击。
纯小白从0开始root小米手机(MIUI14)及隐藏root使用银行app
amatch的博客
10-08 2万+
本教程适用于纯小白,过程详细,中间的很多内容都参考了网上大神的文章,本人使用的是红米Note12T Pro,MIUI 14.0.6正式版,一次成功rootroot大致分为两部,第一步解BL锁,这一步可能会清空手机资料(实际遇到了),因此需要备份。第二步root,这一步需要下载很多内容,包括系统,root所需app,隐藏root所需插件等。
红米3解锁bootloader、刷机和ROOT权限管理教程
3.Root权限管理:进入手机的安全中心-->授权管理-->ROOT权限管理-->开启ROOT权限。 4.刷机和Root权限管理的注意事项:需要注意刷机和Root权限管理的风险,避免损害手机的系统和数据。 该教程提供了详细的刷机和Root...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值