安卓漏洞学习(六):Android su提权实现

已于 2024-10-21 21:50:38 修改
阅读量726 收藏 3
点赞数 3
分类专栏: 安卓安全 文章标签: android 学习 网络安全
于 2024-10-20 23:14:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/beefreesky/article/details/143100500
版权

suid机制失效了怎么办?

上讲给出的答案是在设备启动时由init进程开启一个su daemon 守护进程,当有程序调用su时,就作为client与这个server通信,由远程的server完成所有操作。今天我们来学习一个简单实现。

su daemon守护进程(server)的创建

su.c
int main(int argc, char const *argv[])
{
    struct su_args args = {
            .uid = 0,
            .argc = 1,
            .args = "sh"
    };

    return argc == 2 && strcmp(argv[1], "--daemon") == 0 ?   
           start_daemon() : exec_su(&args);
}
su程序既作为服务端程序,也作为申请权限客户端程序,通过参数--daemon进行控制。

作为服务端程序运行时,需要在init进程中用–daemon参数启动。执行以下程序

su_daemon.c
int start_daemon() {
    int fd = -1;
    int status = -1;

    struct sockaddr_un addr;
    memset(&addr, 0, sizeof(addr));

    if (getuid() != 0 || getgid() != 0) {
        LOGE("daemon must run with root user\n");
        goto bail;
    }

    if ((fd = open_local_server(LOCAL_SOCKET_PATH, &addr, 5)) == -1) {
        LOGE("failed to open local socket\n");
        goto bail;
    }

    LOGD("ok, now waiting for a new client socket ...\n");

    int client = accept(fd, NULL, NULL); //接收客户端连接
    status = handle_client_socket(fd, client);

    bail:
    if (fd != -1) close(fd);
    unlink(LOCAL_SOCKET_PATH);
    return status;
}


int handle_client_socket(int server_fd, int client_fd)
{
    int status = -1;

    struct su_args args;
    int bytes;

    if (client_fd == -1) {
        LOGE("invalid client fd: -1\n");
        goto bail;
    }

    LOGD("connect ok, now reading su_args ...\n");

    if ((bytes = read(client_fd, &args, sizeof(args))) != sizeof(args)) {
        LOGE("failed when reading struct su_args info\n"
             "expected %d bytes, actually %d bytes\n", (int) sizeof(args), bytes);
        goto bail;
    }

    LOGD("su_args = {uid = %d, args = %s}\n", args.uid, args.args);
    LOGD("done, check the client\n");

    struct ucred cred;
    socklen_t len = sizeof(cred);
    if (getsockopt(client_fd, SOL_SOCKET, SO_PEERCRED, &cred, &len)) {
        LOGE("failed to getsockopt\n");
        goto bail;
    }

    LOGD("ucred = {pid = %d, uid = %d, gid = %d}\n", cred.pid, cred.uid, cred.gid);
    LOGD("start superuser activity ...\n");

    status = start_request_activity(cred.uid, cred.pid);
    send_result_broadcast(cred.uid, status);

    if (status == -1) {
        LOGE("denyed by SuperUser app\n");
        goto bail;
    }

    pid_t child = fork();

    if (child == 0) {
        // 子进程
        close(client_fd);
        close(server_fd);
        LOGD("start  exec_su_args ===========================================\n");
        exec_su_args(&cred, &args);
    }

    // 父进程
    LOGD("waiting child process %d ...\n", child);
    if (child != -1) waitpid(child, &status, 0);

    status = WEXITSTATUS(status);
    LOGD("exit code %d\n", status);


bail:
    if (write(client_fd, &status, sizeof(int)) != sizeof(int)) {
        LOGE("failed when send result code to the client\n");
    }
    if (client_fd != -1) close(client_fd);
    return status;
}

发起su授权时client与server的通信

如要执行的命令,uid等,我把这部分封装到一个su_args结构体中。client端在连接到server后,把su_args发送过去,自身陷入阻塞状态,等待server的返回值

struct su_args {
    uid_t uid;
    int argc;
    char args[256];
};

发起su授权时,client端代码

int exec_su(struct su_args *args) {
    int fd = -1;
    int status = -1;

    struct sockaddr_un addr;

    if ((fd = open_local_client(LOCAL_SOCKET_PATH, &addr)) == -1) {
        LOGE("failed when open client socket\n");
        goto bail;
    }

    if (connect(fd, (struct sockaddr*) &addr, sizeof(addr)) == -1) {
        LOGE("failed to connect to the server\n");
        goto bail;
    }

    status = handle_server_socket(fd, args);

bail:
    if (fd != -1) close(fd);
    return status;
}


static int handle_server_socket(int fd, struct su_args* args)
{
    int status = -1;
    int bytes;

    LOGD("connect ok, now send su_args struct ...\n");

    if ((bytes = write(fd, args, sizeof(*args))) != sizeof(*args)) {
        LOGE("failed to send su_args struct\n"
             "expected %d bytes, actually %d bytes\n", (int) sizeof(*args), bytes);
        goto bail;
    }

    LOGD("send done, now waiting for exit code ...\n");
    if ((bytes = read(fd, &status, sizeof(int))) != sizeof(int)) {
        status = 1;
        LOGE("failed when receiving exit code\n");
        goto bail;
    }

    LOGD("exit code %d\n", status);
bail:
    return status;
}

server端接收到授权请求后,调用app,由用户在界面点击授权

su daemon与android app(superuser) 处在两个完全不同的运行环境里,一个是传统的linux进程,一个运行在java虚拟机上,那么二者是怎么通信的呢?
答案是am命令。am是android内置的一个命令,可以实现在命令行环境下启动activity,service,发送广播等,使用十分广泛。
既然能够唤起android app,那么就要想办法接收数据返回。这里是创建了一个临时的socket来接收数据。下面的代码在创建socket后倒计时20秒,如果因为各种各样的原因无法读到数据,那么直接拒绝。

int start_request_activity(uid_t uid, pid_t pid)
{
    int status = -1;

    char uid_s[8];
    char path[32];
    snprintf(uid_s, sizeof(uid_s), "%d", uid);
    snprintf(path, sizeof(path), "/dev/su.d.%d", pid);

    const pid_t child = fork();
    if (child == -1) {
        LOGE("failed to fork child process\n");
        return -1;
    }
    else if (child == 0) {
        execlp("am", "am", "start",
               "-n", SUPERUSER_PACKAGE_NAME "/" SUPERUSER_REQUEST_ACTIVITY,
               "--ei", "caller_uid", uid_s,
               "--es", "socket_path", path,
               NULL);
        exit(errno);
    }

    waitpid(child, &status, 0);
    status = WEXITSTATUS(status);

    LOGD("am exit code %d\n", status);

    if (status != 0) {
        return -1;
    }

    int fd = -1;
    int client = -1;
    struct sockaddr_un addr;
    memset(&addr, 0, sizeof(addr));

    if ((fd = open_local_server(path, &addr, 1)) == -1) {
        LOGE("failed to open tmp socket: %s\n", path);
        return -1;
    }

    LOGD("socket ready, count 20 sec ...\n");

    fd_set fds;
    FD_ZERO(&fds);
    FD_SET(fd, &fds);

    struct timeval time = {
            .tv_sec     =   20,
            .tv_usec    =   0
    };
    //等待App数据返回
    if ((status = select(fd + 1, &fds, NULL, NULL, &time)) <= 0) {
        status = -1;
        LOGE("timeout, give up this socket \n");
        goto bail;
    }

    if ((client = accept(fd, NULL, NULL)) == -1) {
        LOGE("failed to accept client socket\n");
        goto bail;
    }

    if (read(client, &status, sizeof(status)) != sizeof(status)) {
        status = -1;
        LOGE("failed to read result data from client\n");
        goto bail;
    }
bail:
    unlink(path);
    if (fd != -1) close(fd);
    if (client != -1) close(client);
    return status;
}


int send_result_broadcast(uid_t uid, int result)
{
    pid_t child = fork();
    if (child == -1) {
        LOGE("failed to fork child process \n");
        return -1;
    }
    else if (child == 0) {

        char uid_s[8];
        char result_s[8];

        snprintf(uid_s, sizeof(uid_s), "%d", uid);
        snprintf(result_s, sizeof(uid_s), "%d", result);

        execlp("am", "am", "broadcast",
               "-n", SUPERUSER_PACKAGE_NAME "/" SUPERUSER_RESULT_BROADCAST,
               "-a", SUPERUSER_PACKAGE_NAME "/" SUPERUSER_RESULT_BROADCAST,
               "--ei", "caller_uid", uid_s,
               "--ei", "su_result", result_s,
               NULL);
        exit(errno);
    }

    int status;
    waitpid(child, &status, 0);
    status = WEXITSTATUS(status);

    LOGD("send broadcast result : %d\n", status);

    return status == 0 ? 0 : -1;
}

在这里插入图片描述

用户在界面同意授权后,新创建一个进程,执行以下代码

void exec_su_args(struct ucred* cred, struct su_args* args)
{
    int status = -1;
    int fin = -1, fout = -1, ferr = -1;

    LOGD("convert args=========================\n");
    char** argv = split_cmd_line(args->args);
    for (int i = 0; argv[i] != NULL; i ++) {
        LOGD("argv[%d] = '%s\n'", i, argv[i]);
    }

    LOGD("open remote stdio\n");
    char buff[64];

    snprintf(buff, sizeof(buff), "/proc/%d/fd/0", cred->pid);
    fin = open(buff, O_RDONLY);

    snprintf(buff, sizeof(buff), "/proc/%d/fd/1", cred->pid);
    fout = open(buff, O_WRONLY);

    snprintf(buff, sizeof(buff), "/proc/%d/fd/2", cred->pid);
    ferr = open(buff, O_WRONLY);

    if (fin == -1 || fout == -1 || ferr == -1) {
        LOGD("failed to open std\n");
        goto bail;
    }

    if (dup2(fin, 0) == -1 || dup2(fout, 1) == -1 || dup2(ferr, 2) == -1) {
        LOGD("failed to dup remote std\n");
        goto bail;
    }

    LOGD("exec su args\n");
    setuid(args->uid);
    chdir("/");
    execvp(argv[0], argv);

bail:
    if (fin != -1) close(fin);
    if (fout != -1) close(fout);
    if (ferr != -1) close(ferr);
    exit(status);
}

这个过程通过将在su daemon中创建具有root权限的进程,并通过execvp函数执行授权的命令,同时,将标准输入、输出流重定向到请求授权的进程。

注意事项

server的accept部分,应包裹在一个死循环中,这样才能一直接受请求
在代理client端标准输入输出时,这里是直接open然后dup重定向文件描述符,superuser则用了虚拟终端,并开了子线程向远程转发
实际测试时要关闭selinux为宽容模式,否则socket连接不成功

补充:关于su android C程序编译

su 程序是要编译成Linux elf程序的。参考文章中给出的编译环境是编译成.so。
如果想编译成elf程序,按照下面步骤:
在…\app\src\main\jni目录下
1、编写Android.mk

LOCAL_PATH := $(call my-dir) 
include $(CLEAR_VARS)          #会清理除了LOCAL_PAT外的其他LOCAL文件路径
LOCAL_CFLAGS += -std=c99       #使用c语言c99规范
LOCAL_CFLAGS += -pie -fPIE     #相当于在源文件中增加宏定义,安卓5.0以上需要添加,否则编译出来无法使用
LOCAL_LDFLAGS += -pie -fPIE    #相当于在源文件中增加宏定义,安卓5.0以上需要添加,否则编译出来无法使用
LOCAL_ARM_MODE := arm          #模块指令集
LOCAL_LDLIBS := -llog
LOCAL_MODULE    := su    #模块名称(最后生成的可执行文件的名字,可以按照需求修改)
LOCAL_SRC_FILES := su.c su_daemon.c su_exec.c socket.c   #源文件名(需要替换成我们自己的.c文件)
include $(BUILD_EXECUTABLE)    #编译为可执行文件

2、编写Application.mk

APP_ABI := x86

3、源码的\app\src\main\jni目录下,执行:
ndk-build NDK_PROJECT_PATH=. APP_BUILD_SCRIPT=./Android.mk
ndk-build命令需要安装android NDK,安装指导文章网上很多,自己找。

参考:https://www.jianshu.com/p/6bc251ee9026
源代码:https://github.com/nlifew/superuser

DirtyCow漏洞复现(新、脏牛、大脏牛、Linux、Android
墨痕诉清风的博客
02-25 2726
编译好的EXP下载地址:https://github.com/Brucetg/DirtyCow-EXP 该漏洞是 Linux 内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞, 导致可以破坏私有只读内存映射。黑客可以在获取低限的的本地用户后,利用此漏洞获取 其他只读内存映射的写限,进一步获取 root 限。 1.Linux Ubuntu 14.04 : 1)添加用户: sudo adduser test 输入两次密码后一直回车就行,查看当前用户的..
关于Android的root漏洞
热门推荐
Tesi1a的充电桩
09-09 1万+
以下两个转自于知乎少仲哥 和flanker_hqd的回答:1.CVE-2009-2692(Wunderbar/asroot)sock_sendpage()的空指针解引用.因为sock_sendpage 没有对 socket_file_ops 结构的 sendpage 字段做指针检查,有些模块不具备sendpage 功能,初始时赋为 NULL,这样,没有做检查的sock_sendpage 有可能直接调
Android系统漏洞
08-13
Android系统漏洞
Android 9.0user版本如何开启root,打开su
最新发布
码点
04-07 103
④修改 /frameworks/base/core/jni/com_android_internal_os_Zygote.cpp。再看下should_drop_privileges()方法,这个函数来判断是否要降级,返回false就是使用root限。①.修改 /system/core/adb/daemon/main.cpp。②修改 /system/core/adb/Android.mk。①修改 /build/core/main.mk。①去掉root,shell的判断。3.关闭selinux。
android
weixin_33738578的博客
08-11 285
Android的内核就是Linux,所以Android获取root其实和Linux获取root限是一回事儿。 你 想在Linux下获取root限的时候就是执行sudo或者su,接下来系统会示你输入root用户的密码,密码正确就获得root限了。 Android本身就不想让你获得Root限,大部分手机出厂的时候根本就没有su这个程序。所以你想获得Android的root限,第一步就是要...
Android Superuser 漏洞分析
移动安全研究和Android/iOS/小程序隐私合规
11-22 4839
博文作者:riusksk&popey[TSRC]发布日期:2013-11-20博文内容:      近日,国外安全研究人员揭露多款Android平台下的授应用管理软件存在3个安全漏洞,利用漏洞可进行root,详见链接:http://forum.xda-developers.com/showthread.php?t=2525552。 TSRC也对这3个Android Superuser 
android 漏洞,【转】android漏洞CVE
weixin_31976493的博客
05-30 957
承接上一篇博客CVE-2010-EASY漏洞android两大漏洞之一,它的修复方法很简单只需要给system/core/init/devices.c文件打个补丁就可以了,具体内容如下static int open_uevent_socket(void){+ setsockopt(s, SOL_SOCKET, SO_PASSCRED, &on, sizeof(on));//在o...
Android 2020 安全报告,CVE-2020-0423 android内核漏洞分析
weixin_33581743的博客
05-27 1045
简介2020年10月公布了bulletin,这是最近新的漏洞,存在于binder中。这个漏洞大致上是binder的sender和receive端的对binder_node结构体的race condition转化为uaf漏洞,作者进一步触发了double free,结合后续巧妙的堆喷分配,利用slub和ksma机制,绕过kalsr和cfi保护,官方给出影响的版本在Android 8-11之间,详...
Android 5.1源码Root补丁:无需SuperSU实现系统
根据供的文件信息,我们可以了解到该文件关联的知识点主要集中在Android系统、Root限以及系统命令su(Set User ID)的应用方面。以下将详细解析这些知识点。 ### Android 5.1源码Root补丁 1. **Android版本...
开放android系统ROOTSU
12-17
它是一个二进制文件,当其他应用请求超级用户限时,`su`会处理这些请求并控制限的授予。 5. **风险与注意事项**: - **安全性**:开放ROOT限可能使设备更容易受到恶意软件的攻击,因为攻击者也可能获得管理...
Android Root设备中的su限获取和使用详解
01-20
- **Android点亮屏幕或屏幕解锁和锁定以及其他相关实现代码**:展示了与限相关的其他功能实现。 - **Android uses-permission限列表中文注释版**:详尽的Android限列表,有助于理解不同限的作用。 - **...
Android 4.4.4_r1 官方系统中su命令源码项目
07-16
Android中,正常的应用程序运行在非特模式下,而`su`是实现从普通用户到root用户的转换的桥梁。这个过程涉及到系统调用、限检查和身份验证等关键环节。通过研究源码,我们可以深入理解这些过程,包括限的...
Android su限管理与分析
weixin_33724046的博客
11-12 366
由于Android底层是Linux内核,故了解了Linux的限管理后就可以知道ROOT的原理,具体可以访问《Android系统限和root限》一文,而一般的Androd下的su命令只支持在ROOT用户和SHELL用户下才有限让程序以root用户身份运行,其实看完Android源码下的system/extras/su/su.c代码即可清楚,而我们绕过了其中的当前运行用户判断来让所有的用户...
Android内核层驱动程序UAF漏洞实例
道阻且长,行则将至
02-28 7840
文章目录前言UAF漏洞 前言 自 2021 年 11 月从国企离职并入职互联网私企后,发现博客很少更新了……自然不是因为开始躺平了(菜鸡的学习之路还很漫长…),而是新的平台充满挑战,需要学习的东西实在太多了(所以一直加班中…),加上很多内部学习材料和内容不可在公司外网传播,所以就很少写 优快云 博文了。但是稍有时间还是要保持写博文习惯的hh,个人觉得这不仅是对个人技术成长的记录,也是一种促使自己不断保持学习状态的好习惯。 换工作后开始从事移动终端安全的方向,最近在学习 Android 内核层和驱动的漏洞
Android获取ROOT
weixin_33932129的博客
11-15 562
获取Android的ROOT限其实很简单,只要在Runtime下执行命令"su"就可以了。 // 获取ROOT限 public void get_root(){ if (is_root()){ Toast.makeText(mCtx, "已经具有ROOT限!", Toast.LENGTH_LONG).show(); } else{ try...
android 跨进程注入,Android 系统漏洞分析
weixin_36329818的博客
05-28 1330
() 序言1.1什么是rootRoot——也就是我们这里说的系统,通常是针对Android系统的手机而言,它使得用户可以获取Android操作系统的超级用户限。root通常用于帮助用户越过手机制造商的限制,使得用户可以卸载手机制造商预装在手机中某些应用程序,以及运行一些需要超级用户限的应用程序。Android系统的root与AppleiOS系统的越狱类似。1.2如何实现root一般roo...
android 跨进程注入,Android Binder Driver UAF 漏洞实现 Root 分析(CVE-2019-2215)...
weixin_39715460的博客
05-28 600
0x00 漏洞描述当 Project Zero 紧急发布 CVE-2019-2215 漏洞公告时,我决定将漏洞利用代码复制到本地设备上进行复现分析。我正好有一个存在漏洞的 Pixel 2 手机。我需要做的就是编译漏洞 exp 并通过 ADB 运行 exp 代码。我下载了最新的Android NDK并编译了 PoC:[ grant ~/Downloads/android-ndk-r20 >&g...
Androidroot漏洞,Android Binder Driver UAF 漏洞实现 Root 分析(CVE-2019-2215) - 嘶吼 RoarTalk – 回归最本质的信息安全,互...
weixin_28679635的博客
05-29 1467
0x00 漏洞描述当Project Zero紧急发布CVE-2019-2215漏洞公告时,我决定将漏洞利用代码复制到本地设备上进行复现分析。我正好有一个存在漏洞的Pixel 2手机。我需要做的就是编译漏洞exp并通过ADB运行exp代码。我下载了最新的Android NDK并编译了PoC:[grant~/Downloads/android-ndk-r20>>./toolchai...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值