Android安全之使用root权限绕过检测机制,强行自动允许应用的悬浮窗/应用后台弹出界面等权限

最新推荐文章于 2024-05-26 11:03:22 发布
置顶 最新推荐文章于 2024-05-26 11:03:22 发布
阅读量8.9k 收藏 33
点赞数 7
分类专栏: Android安全 root 权限绕过 文章标签: android root 权限 动态加载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014418171/article/details/103868878
版权

分析源码

该技术可以通过root权限,绕过权限检测机制, 在后台实现静默地自动授予任意app的任意权限, 没错: 自动授予[任意]app 的 [任意] 权限, 就是这么可怕!

以悬浮窗权限为例, 下面来说下我的研究的过程和最终解决方案:

大概以前在安卓4.x-6.x时代,android原生的悬浮窗权限是默认允许的,导致悬浮窗锁机应用病毒流行, 后来国内MIUI flyme等系统自己加了个悬浮窗权限, 当时的适配方案是反射判断AppOpsManager.checkOp(24) 返回权限授予情况 //24为悬浮窗权限.

该方法后来逐渐被遗弃, 到了android 6.x后 , 原生提供了一个办法来判断悬浮窗权限

Settings.canDrawOverlays(context)

我们来看一下 canDrawOverlays的源码 , 跟踪方法栈到最后一层:

public static boolean isCallingPackageAllowedToPerformAppOpsProtectedOperation(Context context,
            int uid, String callingPackage, boolean throwException, int appOpsOpCode, String[]
            permissions, boolean makeNote) {
        AppOpsManager appOpsMgr = (AppOpsManager)context.getSystemService(Context.APP_OPS_SERVICE);
        int mode = AppOpsManager.MODE_DEFAULT;
        if (makeNote) {
            mode = appOpsMgr.noteOpNoThrow(appOpsOpCode, uid, callingPackage);
        } else {
            mode = appOpsMgr.checkOpNoThrow(appOpsOpCode, uid, callingPackage);
        }
        switch (mode) {
            case AppOpsManager.MODE_ALLOWED:
                return true;
            case AppOpsManager.MODE_DEFAULT:
                return true;
        }
 		//略...
    }

发现 canDrawOverlays的实现原理也是通过AppOpsManager的内部函数实现!

通过上面的AppOpsManager.checkOp(24)和 Settings.canDrawOverlays(context)实现原理 可知
关键在于这个AppOpsManager类, 我们来看下源码有没有 setOp() 这样的函数. (源码直达)
看来看去 只有setMode 比较像是设置权限的操作, 但始终不确定.

于是… 打开安卓模拟器, 通过请求一个悬浮窗权限弹出到权限设置界面, 然后抓取当前fragment;类名称, 然后下载或在线android 源码中搜索这个界面的源码, 查看其悬浮窗授权开关的实现原理.
步骤分别如下:
找到界面
在这里插入图片描述
抓取当前fragment名称 通过软件 开发者助手电脑版 / 开发者助手手机版(手机版需要root, 且不稳定可能无法抓取)
在这里插入图片描述

以上找到这个设置界面的fragment后, 开始前往这里搜源码: 在线安卓源码搜索
在这里插入图片描述
最终找到了这个类 DrawOverlayDetails.java
看了下代码, 非常易懂:
在这里插入图片描述
没错了, 就是通过setMode函数来授予权限的, 而且AppOpsManager.OP_SYSTEM_ALERT_WINDOW 的值 刚好就是24, 悬浮窗权限.,而mode值为 AppOpsManager.MODE_ALLOWED代表允许, 该函数需要输入op值(24) , uid ,包名,和 mode值

那么反射一下调用setMode不就得了? 真这么简单我还写这个文章干啥啊…
方式会报安全异常, 需要系统权限才能调用这个setMode函数.
此时我们回到AppOpsManager的setMode内部实现原理, 发现其其实是通过 service实现远程通讯调用的
在这里插入图片描述
在这里插入图片描述
然后再搜到IAppOpsService的实现, AppOpsService.java

可以看到,实现中第一行就是检测权限
在这里插入图片描述
可以看到 只要calling pid和当前pid一致, 就可以跳过检查, 这样就只能通过xposed 去hook实现了.因为xposed是同一个进程下执行代码 所以不急, 继续看 enforcePermission的实现原理
跟踪找到ContextImpl.java类 里
在这里插入图片描述
在这里插入图片描述
这里写的是 activitymanager为空的时候, 此时如果是root 用户或system用户 就可以免除授权检查直接授予通过

为什么这里这么判断? 可能是linux下的进程 是没有activity的, 也无法获取上下文Context , 在linux获取activity是null的

重头戏在下面:

在linux下执行dex 输出hello world

原理是利用安卓系统内置的工具: app_process

1.在IntelliJ IDEA里新建一个java工程 并打包jar 执行测试

新建后 新建一个类

public class AppOpsManagerCompat {
    public static void main(String[] args)  {
        System.out.println("hello world");
    }
}

注意: 为了方便测试, main函数内记得打印一行 hello world 之类的
然后打包成jar文件, 操作步骤如下:
在这里插入图片描述
配置好后开始构建生成jar包, 步骤如下:
在这里插入图片描述
最后jar包路径生成在这个位置下:
在这里插入图片描述
为了确定无误, 可以使用jadx/jd-gui 等反编译工具查看jar包的内容, 这里要注意下MANIFEST.MF文件描述的mainclass是否正确. 否则可能在生成配置中没有设置main类
在这里插入图片描述
当然也可以通过java -jar AppOpsManagerTest.jar 来确认这个jar包可成功执行
在这里插入图片描述

2.使用工具把jar转成dex )

基本命令 dx --dex --output
步骤
找到你的sdk中的 dx.bat 或 dx.jar

D:\Android\sdk\build-tools\27.0.2\dx.bat
执行

D:\Android\sdk\build-tools\27.0.2\dx.bat --dex --output  appops.dex  AppOpsManagerTest.jar

为了方便, 可以把dx命令配置到系统环境变量

3.验证dex(可选)

使用 jadx, jeb2 等反编译工具 对dex进行反编译 查看dex是否是自己刚才写的那样

4.复制dex到 Android手机中.

复制到 /data/local/tmp/下

5.确认dex文件的权限

查看权限情况
ls -l

修改权限全满
chmod 777 /data/local/tmp/appops.dex

6.执行dex
//插入手机 然后利用adb push 把dex复制到手机中 (可选, 可自己手动复制)
adb push D:\Android\IDEAProjects\AppOpsManagerTest\out\artifacts\AppOpsManagerTest_jar\appops.dex

//复制appops.dex到  /data/local/tmp/ 下
adb shell "su -c 'cp -rf /sdcard/appops.dex /data/local/tmp/'"

//修改权限全满
adb shell "su -c 'chmod 777  /data/local/tmp/appops.dex'"

//运行dex
adb shell "su -c 'app_process -Djava.class.path=/data/local/tmp/appops.dex  /data/local/tmp com.mx.appops.AppOpsManagerCompat'" 

//输出hello world  略, 和 'java -jar ' 执行的结果一样.

linux下无法获取Context的解决办法

问题解决了, 现在可以在linux下执行java 代码(dex) 了, 现在开始尝试
反射调用setMode函数

…然而…
…卧槽…
在这里插入图片描述
上下文Context 怎么拿? 于是我找遍了系统没有发现静态的上下文提供反射用
好吧…只好研究下 getSystemService的原理了, 看看能不能免context也能拿到service/manager
最后发现 ContextImpl.java 关键位置:
在这里插入图片描述
发现在SystemServiceRegistry.java类中, 创建了AppOpsManager的源码
在这里插入图片描述
并且通过 ServiceManager.getServiceOrThrow/getService 和 asInterface取得服务, 这个过程不需要上下文Context的参与

IBinder b = ServiceManager.getService(Context.APP_OPS_SERVICE);
IAppOpsService service = IAppOpsService.Stub.asInterface(b);
service.setMode(...)

而IAppOpsService 又是AppOpsManager的内部实现, 也有setMode 方法!..
所以模仿上面的代码反射执行就可以了!


在这里插入图片描述

注意: 图中的uid 改成你的需要申请悬浮窗权限app的uid, 你的app的uid可通过 Binder.getCallingUid()获取, 注意我说的是在你app 代码中获取 , 不是写在这例子中, 这例子中Binder.getCallingUid()会返回0, 因为执行的时候uid是0 可免权限, 这也算能绕过权限的原因

最终实现

我把它写成一个可通过main函数传参的方式

package com.mx.appops;

import android.Manifest;
import android.app.AppOpsManager;
import android.content.Context;
import android.content.pm.IPackageManager;
import android.content.pm.PackageInfo;
import android.content.pm.PackageManager;
import android.content.res.Resources;
import android.net.Uri;
import android.os.*;
import com.android.internal.app.IAppOpsService;

import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.Arrays;


public class AppOpsManagerCompat {

    //运行示例 adb shell "su -c 'app_process -Djava.class.path=/data/local/tmp/appops.dex  /data/local/tmp com.mx.appops.AppOpsManagerCompat'" -packagename=包名 -op=24  -mode=0
    public static void main(String[] args) {
        if (args.length == 0) {
            System.out.println(false);
            return;
        }
        String packagename = null;
        int uid = 0;
        int mode = -1;
        int op = -1;
        for (String arg : args) {
            if (arg.startsWith("-") && arg.contains("=")) {
                String type = arg.substring(arg.indexOf("-") + 1, arg.indexOf("=")).trim();
                String value = arg.substring(arg.indexOf("=") + 1).trim();
                switch (type) {
                    case "packagename":
                        packagename = value;
                        break;
                    case "mode":
                        mode = Integer.parseInt(value);
                        break;
                    case "op":
                        op = Integer.parseInt(value);
                        break;
                    case "uid":
                        uid = Integer.parseInt(value);
                        break;
                }
            }
        }
        if (packagename == null || packagename.isEmpty() || op == -1 || mode == -1) {
            System.out.println(false);
            return;
        }
        try {
            IBinder iBinder = ServiceManager.getService(Context.APP_OPS_SERVICE);
            IAppOpsService iAppOpsService = IAppOpsService.Stub.asInterface(iBinder);
            if(uid<=0) {//如果不传uid 那么通过包名获取uid
                //这里仍然是采用相同的技术:  免上下文Context获取到PackageManager
                IPackageManager ipm = IPackageManager.Stub.asInterface(ServiceManager.getService("package"));
                PackageInfo packageInfo = ipm.getPackageInfo(packagename, 0, 0);
                uid = packageInfo.applicationInfo.uid;
            }
            iAppOpsService.setMode(op, uid, packagename, mode);
            iAppOpsService.noteOperation(op, uid, packagename);
            System.out.println(true);
        } catch (Exception e) {
            System.out.println(false);
        }

    }

}

注意注释, -packagename=包名 -op=24 -mode=0 为参数 , uid可以不传, 会通过包名获取, 这样简单了吧.

嗯, 现在打包成dex 执行吧
在这里插入图片描述
返回成功! 然后打开系统设置看看… 悬浮窗权限开关自动开启了 ! 而且打开app的确可以使用悬浮窗了!

把命令集成到app中

然后你可以把这些命令行操作封装到你的app中去, 举例

public static boolean setMode(Context context, int code, int uid, String packageName, int mode,ShellUtils.OnShellExecStreamListener listener)
	{
		String dexName = "a12w2314.dex";
		String tmpDir  = "/data/local/tmp/";
		File   dexFile = new File(tmpDir, dexName);
		if (!dexFile.getParentFile().exists())
		{
			dexFile.getParentFile().mkdirs();
		}
		dexFile = new File(tmpDir, dexName);
		if (!dexFile.getParentFile().exists())
		{
			ShellUtils.exec("mkdir " + tmpDir, null);
		}

		if (!dexFile.exists() || dexFile.length() <= 0)
		{
			try
			{
				AssetManager assets = context.getAssets();
				InputStream  open   = assets.open(dexName);
				File         file   = new File(context.getFilesDir(), dexName);
				if (!file.getParentFile().exists())
				{
					boolean mkdirs = file.getParentFile().mkdirs();
				}
				FileOutputStream outputStream = new FileOutputStream(file);
				byte[]           buff         = new byte[2048];
				int              len;
				while ((len = open.read(buff)) != -1)
				{
					outputStream.write(buff, 0, len);
				}
				outputStream.flush();
				outputStream.close();
				open.close();
				if (file.exists())
				{
					ShellUtils.exec("cp -rf " + file.getAbsolutePath() + " " + tmpDir + " && chmod 777 " + tmpDir + dexName, null);
				}
			} catch (Exception e)
			{
				e.printStackTrace();
			}
		}
		if (!dexFile.exists())
		{
			dexFile = new File(tmpDir, dexName);
		}
		if (dexFile.exists())
		{
			String cmd = "app_process -Djava.class.path=" + tmpDir + dexName + "  " + tmpDir + " com.mx.appops.AppOpsManagerCompat -packagename=" + packageName + " -op=" + code + " -uid=" + uid + " -mode=" + mode;
			ShellUtils.exec(cmd, listener);
			//这里未必成功, 需要监听dex中syso输出的成功值,dex已经写了 但是在这边不想写监听 以后再说,凑合用吧
			return true;
		}
		return false;
	}

以上代码:
从app的Asset文件夹中复制dex文件出来到app私有目录下, 利用cp -rf 再复制到/data/local/tmp下, 修噶权限, 然后执行修改权限命令, 并传入参数
ShellUtils.exec(cmd, listener); 是执行shell的工具类, 这里不贴了 网上找吧

填坑

linux执行dex 下无法获取上下文, activity, uid为0 等原因如图
在这里插入图片描述
输出结果:
在这里插入图片描述

本文只演示了op值为24 的悬浮窗权限静默root开启的方案, 其它权限全部通用 , 我试了后台弹出界面权限也是可以的, 还有那些快捷方式创建权限, 电话 短信修改, xxxxx 都是可以通过我上面的方法改的, 把op值改下即可, op值表如何获取可以看源码, 第三方权限op值如何获取可以看我之前的帖子 Android 权限适配 从此第三方系统新增的权限无法判断状态的问题得到解决! 如MIUI自启动, 后台弹出界面权限等

加群QQ群418263790 一起研究一些骚操作技术吧.

MX东芝
关注
  • 7
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
Android-悬浮窗功能的实现(附Java、KT实现源码)
m0_57983911的博客
06-12 2492
前言 我们大多数在两种情况下可以看到悬浮窗,一个是视频通话时的悬浮窗,另一个是360卫士的悬浮球,实现此功能的方式比较多,这里以视频通话悬浮窗中的需求为例。编码实现使用Kotlin。Java版本留言邮箱即可。 业务场景 以微信视频通话为例,在视频通话时,我们打开其他应用或点击Home键退出时或点击缩放图标,悬浮窗会显示在其他应用之上,给人的假象是通话页面变小了,点击悬浮窗回到通过页面,悬浮窗消失。退出通话页面悬浮窗消失。 业务场景技术分析 在编码之前,我们必须将流程整理好,这样更有利于编码的实现。实现一个功
Android 副屏调用
邵旺运的博客
04-05 1074
Android原生副屏功能API,不需要集成SDK。 具体调用流程如下
android弹窗不能手动关闭_Android app(Service)如何在后台随时随地弹出/关闭悬浮窗?...
weixin_32512187的博客
12-23 856
需求语音唤醒后在系统任意界面(应用)弹出悬浮窗(定制设备,非手机)。问题进程在前台时没问题,悬浮窗可以开关,进程转到后台以后就不行,即栈顶是其他应用的时候,悬浮窗弹不出,回到自己 app 查看,发现悬浮窗只显示在自己的 app 里面,无法在最顶层绘制。失败尝试( x )打开前台服务( x )在打开其他应用前先打开悬浮窗,然后根据唤醒状态改变透明度( x )分别使用 EventBus/Handler...
一例APP绕过root检测解密
最新发布
2401_84466229的博客
05-26 1276
还是一个简单的例子,现在常规的app大体思路都是这样,只能碰到问题花时间研究去解决,不能迷信通杀方案。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取读者福利 |
Android无需权限显示悬浮窗, 兼谈逆向分析app
Stevefat
01-08 866
作者:Shawon 前言 最近UC浏览器中文版出了一个快速搜索的功能, 在使用其他app的时候, 如果复制了一些内容, 屏幕顶部会弹一个窗口, 提示一些操作, 点击后跳转到UC, 显示这个悬浮窗不需要申请android.permission.SYSTEM_ALERT_WINDOW权限. 如下图, 截图是在使用Chrome时截的, 但是屏幕顶部却有UC的view浮在
Android 6.0以后 默认给系统 app 授予所有权限
Android framework
08-10 936
Android 6.0以后 默认给系统 app 授予所有权限
Android中代码动态判断是否开启悬浮窗权限和申请悬浮窗权限
aidou1314的博客
03-12 8800
1.在AndroidManifest.xml中申请权限 <!-- 要获取CompatModeWrapper,首先得在应用程序的AndroidManifest.xml文件中添加权限 --> <uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW" /> 2.判断悬浮窗权限是否开启 ...
Android 悬浮窗权限各机型各系统适配大全(总结)
08-29
悬浮窗适配有两种方法:第一种是按照正规的流程,如果系统没有赋予 APP 弹出悬浮窗权限,就先跳转到权限授权界面,等用户打开该权限之后,再去弹出悬浮窗;第二种就是利用系统的漏洞,绕过权限的申请。正常适配...
Android应用源码获取root权限静默安装
03-16
Android应用源码获取root权限静默安装是一个获取root权限后,不弹出系统安装界面,直接进行安装的的源码。代码只有一个MainActivity,看起来相对比较容易,代码中重要部分都已加入详细的注释,方便大家阅读。不过...
android10.0(Q) root MTK 6765 user版本打开root权限(adb root权限和 apk root权限)
01-03
相比较 Android8.1、9.0 而言,Q 版本 的 root变得相当麻烦,10.0 中引入了动态分区机制,可看这篇Android10 动态分区介绍,同样的要想完全 adb root,需要 fastboot 解锁,然后关闭 verity 才能 adb remount 成功。...
Android 11/12 ROOT权限检测
05-10
Android 11/12 ROOT权限检测
安卓悬浮窗相关-不需要悬浮窗权限在桌面弹出悬浮窗.rar
07-29
然而,有一些技术手段可以绕过这一限制,使得应用在没有悬浮窗权限的情况下也能在桌面弹出悬浮窗。 这个压缩包"安卓悬浮窗相关-不需要悬浮窗权限在桌面弹出悬浮窗.rar"可能包含了一些代码示例或库,旨在演示如何...
android 跳过检查,绕过安卓应用检测
weixin_39760434的博客
05-31 1705
针对Xposed检测针对Frida检测针对ROOT环境检测const commonPaths = ["/data/local/bin/su","/data/local/su","/data/local/xbin/su","/dev/com.koushikdutta.superuser.daemon/","/sbin/su","/system/app/Superuser.apk","/system/...
android 悬浮窗的检查
Chents
01-11 5106
1、判断悬浮窗是否打开 if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.M) { val canDrawOverlays = Settings.canDrawOverlays(this) Log.d(TAG, "onCreate:canDrawOverlays=$canDrawOverlays ") findViewById<TextView>(R.id.status)
解决appium ui自动化无法识别悬浮窗问题
测试萌萌
04-20 386
事情的起因是在两个项目上,A项目的虚浮窗按钮无法获取,B项目的推荐和看动态无法获取UI元素。 通过adb shell dump也是无法获取到,但就一个问题,为啥weditor可以定位到呢?
APP内实现顶层窗口,悬浮窗功能。
RenoY3的博客
08-25 6345
在做一个电台类的app时,需要一个按钮始终显示在最前端,查找了一些博客,都不尽如人意,选择了其中写的比较好的一篇进行了修改,最终满足了需求。此方法使用的是系统弹窗,由于我这个项目的特殊性,这个控件是无法移动的,且用户三秒不点就会以动画的形式向上移动一半且半透明化,如果不需要这个功能可以直接删除相关代码,这个类内所有功能都有注释,很好修改,我直接整理成了一个工具类,代码如下:package com.i
uniapp (时长累计)全局悬浮窗实现
m0_37593950的博客
05-28 4328
关键字 uniapp 全局可拖拽悬浮窗 30S无操作停止计时 需求 使用uniapp的一个H5项目中有一个全局的悬浮窗,记录用户的在线时长,如果30S用户没有任何操作就停止计时,在播放视频和播放音频时无30S限制。 方案 第一部分:实现全局可拖动的悬浮窗 在uniapp中不能再App.vue 中写任何的模板代码,所以说只能在每个page中添加,实现拖拽的时候先记录一下上次拖拽的位置,把位置作为一个全局的变量,在下一个页面进入后将位置的全局变量赋值,组件代码如下: <template> &l
Android 代码授予悬浮窗权限
yzpbright的博客
04-22 1847
adb shell pm grant packageName android.permission.SYSTEM_ALERT_WINDOW
华为Android 8.0以上悬浮窗权限正确开启方式
热门推荐
热爱技术
09-20 2万+
Android 8.0以上悬浮窗权限正确开启方式 开发中在android 8.0上遇到了一个判断悬浮窗权限是否开启的问题,当在一个界面弹出dialog提示用户开启悬浮窗权限,用户点击之后,跳转到设置界面开启悬浮窗权限,然后返回该页面,Settings.canDrawOverlays(context) 进行权限开启的判断,结果返回的是false;程序接收到的是权限没有开启,但是到设置里面查看确实是开......
Android获取那些应用使用root权限
05-23
Android 中,要获取使用root 权限应用程序列表,需要使用 root 权限的文件浏览器或者终端模拟器访问系统目录。 以下是获取已经使用root 权限应用程序列表的步骤: 1. 在 Android 设备上打开一个终端模拟器应用程序。 2. 输入 su 命令,以获得 root 权限。 3. 输入以下命令: cd /data/data/ 4. 输入以下命令: ls -l 这将列出所有应用程序的目录和文件。 5. 找到具有 root 权限应用程序,其目录中应包含“su”二进制文件。 6. 可以使用以下命令来查找所有具有 root 权限应用程序: find /data -name su 这将列出具有 root 权限的所有应用程序。 注意:使用 root 权限时需要谨慎,不当的操作可能会导致设备损坏或数据丢失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值