Android中典型的ROOT原理(5)

时间:2022-01-22 21:06:21

ROOT的作用

  • Customization

    用户的个人定制,如删除一些预安装,定制开机动画等.
  • 特权操作

    所有需要特权操作的基本都是要通过ROOT,这也是ROOT的初衷.

ROOT的第一步:寻找漏洞并安装特权文件

  • Hacker会寻找漏洞,如UID设置失败(ADB)
  • 手机ROOT后,最重要的是,给手机安装su程序和superuser apk.

    • su: 一般都被安装在/system/xbin 或者 /system/bin
    • superuser: 这个程序主要是用于管理需要特权的应用,在管理界面内可以对需要特权程序进行拒绝/允许

SU的sUID特性

那么拷进手机内的这个su程序到底有什么功能呢?
先看下面一段代码.

# ls su -l
ls su -l
-rwsr-sr-x 1 root root    26334 Aug 1 2008 su

这里可以看到,su的Owner和Group分别为Root:Root. Other用户具有execute权限,另外,su设置了suid和sgid,这个非常重要,使得su进程可以提升自身的EUID.

RootExplorer(文件超级管理器)是如何做特权操作的?

  • 首先我们可以看到RootExplorer 这个app被分配的信息:

    app_73 1143 103 301620 39944 ffffffff 400194c4 S

    包名:

    com.speedsoftware.rootexplorer

    上面可以看到,RootExplorer的EUID=10073(App Base是从10000开始的), PID=1143.

  • 然好RootExplorer通过Runtime 方式,使用shell 命令运行了su.

    • 见下面exec() 方法就是运行su核心代码.

      p=Runtime.getRuntime().exec("su");

    • RootExplorer接着启动sh:

      看一看到下面的1159是多出来的,他其实是通过PPID为 1143这个进程启动的,而1143也就是RootExplorer App.

      信息如下:

      app_73 1159 1143 764 376 c003e454 4001cf94 S /system/bin/sh

      总结:

      默认情况下,进程的UID还是继承app_73,这里sh的PPID是1143,说明是RootExplorer App启动的,启动后sh就是1159.

  • 然后1159 PID的sh会启动su, 这里需要注意的是,su进程的Real UID是10073,因为继承了parent,但是,其EUID却提升为ROOT,这就是由于SUID被设置的原因.由于su进程的EUID是ROOT,所以导致了su可以做很多高权限的事情.

su会通过下面代码启动SuperUser Request Activity来询问用户是否授权当前应用,如果否的话,则su将return结束,否则su会继续运行.

com.koushikdutta.superuser/com.koushikdutta.superuser.SuperuserRequestActivity --ei uid %d --ei pid %d > /dev/null", g_puid, ppid);
 if (system(sysCmd))
 return executionFailure("am.");
  • 得到用户许可后(通过sqlite和SuperUser Request Activity交流用户许可),su会将资金的Real UID也设置成ROOT:
if(setgid(0)||setuid(0))
  return permissionDenied();

由于su EUID是ROOT,所以su 有权限执行以上代码,执行完后su进程的Real UID, effective UID都变成了ROOT.这里设置RUID=0是为了给自己正身,使得后代能够继承特权.

  • 然后在su把自己正身完后就会去复用一个sh来运行用户的指令:
char *exec_args[argc + 1];
 exec_args[argc] = NULL;
 exec_args[0] = "sh";
 int i;
 for (i = 1; i < argc; i++)
 {
  exec_args[i] = argv[i];
 }
 execv("/system/bin/sh", exec_args);

  //下面只会在失败的时候运行
 return executionFailure("sh");

这里非常关键的代码是execv! 这里没有使用fork(fork会有新的进程出来),而是直接使用execv,这将导致不会创建新的进程运行sh image,而是直接在当前su的进程空间load并执行sh image可执行文件。执行完execv后,就开始直接sh的代码了。

点击查看execv与fork的使用

  • 这里可以看到,由于复用su当前进程来运行sh,使得sh运行的进程的EUID,Real UID都是ROOT,那么,任何操作都可以执行了。

    如果不提升Real UID为Root的话,那么只要sh运行中通过启动外部程序的方式来完成操作的话,就会出现权限问题,因为新启动的进程只会继承父进程的Real UID,而不是EUID,那么新起的进程的Real UID=EUID= parent RealUID != ROOT,那么某些操作可能有问题。 所以,su把自己的Real UID也提升为ROOT后,则不管启动后的任何代后的子进程执行操作,都是以ROOT的权限运行。

    RootExplorer通过得到sh流后,就可以通过该流执行任何shell指令了:
try {
 // Preform su to get root privledges   

   p = Runtime.getRuntime().exec("su");    


 // Attempt to write a file to a root-only   

   DataOutputStream os = new DataOutputStream(p.getOutputStream());   

   os.writeBytes("echo "Do I have root?" >/system/sd/temporary.txtn");   

 // Close the terminal   
   os.writeBytes("exitn");
     os.flush();
    }

总结: android中app授权获取root权限,其实不是app自身的权限提升了,而是通过具有root权限的sh 流来执行shell命令.