Android系统root破解原理分析（续）

最新推荐文章于 2023-06-10 11:00:00 发布

转载最新推荐文章于 2023-06-10 11:00:00 发布 · 1.7k 阅读

Android 专栏收录该内容

21 篇文章

订阅专栏

本文深入解析了Android系统root破解的核心原理，详细解释了如何通过利用RageAgainstTheCage漏洞让adb工具获得root权限，最终实现对系统的root破解。同时，文章还介绍了如何复制破解后的su程序到系统中，以及root破解过程中的关键步骤和注意事项。

上文《Android系统root破解原理分析》介绍了Android系统root破解之后，应用程序获得root权限的原理。有一些网友提出对于root破解过程比较感兴趣，也提出了疑问。本文将会对这个root破解过程进行分析，来解答这个问题。

通过上文《Android系统root破解原理分析》的介绍大家应该明白了root破解过程的终极目标是替换掉系统中的su程序。但是要想替换掉系统中su程序本身就是需要root权限的，怎样在root破解过程中获得root权限，成为我们研究的重点了。下面我们先清点一下我们需要破解系统情况，假设需要破解的Android系统具备如下条件：

1、可以通过adb连接到设备，一般意味着驱动程序已经安装。
2、但是adb获得用户权限是shell用户，而不是root。

要想理解root破解过程我们首先需要了解一下adb工具，SDK中包含adb工具，设备端有adbd服务程序后台运行，为开发机的adb程序提供服务，adbd的权限，决定了adb的权限。具体用户可查看/system/core/adb下的源码，查看 Android.mk你将会发现adb和adbd其实是一份代码，然后通过宏来编译。

查看adb.c的adb_main函数你将会发现adbd中有如下代码：

 
int adb_main(int is_daemon) 
{ 
    ...... 
    property_get("ro.secure", value, ""); 
    if (strcmp(value, "1") == 0) { 
        // don't run as root if ro.secure is set... 
        secure = 1; 
        ...... 
    } 
  
    if (secure) { 
        ...... 
        setgid(AID_SHELL); 
        setuid(AID_SHELL); 
        ...... 
    } 
} 
 

从中我们可以看到adbd会检测系统的ro.secure属性，如果该属性为1则将会把自己的用户权限降级成shell用户。一般设备出厂的时候在/default.prop文件中都会有：

 
ro.secure=1 
 

这样将会使adbd启动的时候自动降级成shell用户。

然后我们再介绍一下adbd在什么时候启动的呢？答案是在init.rc中配置的系统服务，由init进程启动。我们查看init.rc中有如下内容：

 
# adbd is controlled by the persist.service.adb.enable system property 
service adbd /sbin/adbd 
    disabled 
 

对Android属性系统少有了解的朋友将会知道，在init.rc中配置的系统服务启动的时候都是root权限（因为init进行是root权限，其子程序也是root）。由此我们可以知道在adbd程序在执行：

 
/* then switch user and group to "shell" */ 
setgid(AID_SHELL); 
setuid(AID_SHELL); 
 

代码之前都是root权限，只有执行这两句之后才变成shell权限的。

这样我们就可以引出root破解过程中获得root权限的方法了，那就是让以上面setgid和setuid函数执行失败，也就是降级失败，那就继续在root权限下面运行了。

这其实利用了一个RageAgainstTheCage漏洞，具体分析请参考《Android adb setuid提权漏洞的分析》和《RageAgainstTheCage》。这里面做一个简单说明：

1、出厂设置的ro.secure属性为1，则adbd也将运行在shell用户权限下；

2、adb工具创建的进程ratc也运行在shell用户权限下；

3、ratc一直创建子进程（ratc创建的子程序也将会运行在shell用户权限下），紧接着子程序退出，形成僵尸进程，占用shell用户的进程资源，直到到达shell用户的进程数为 RLIMIT_NPROC的时候（包括adbd、ratc及其子程序），这是ratc将会创建子进程失败。这时候杀掉adbd，adbd进程因为是 Android系统服务，将会被Android系统自动重启，这时候ratc也在竞争产生子程序。在adbd程序执行上面setgid和setuid之前，ratc已经创建了一个新的子进程，那么shell用户的进程限额已经达到，则adbd进程执行setgid和setuid将会失败。根据代码我们发现失败之后adbd将会继续执行。这样adbd进程将会运行在root权限下面了。

3、这是重新用adb连接设备，则adb将会运行在root权限下面了。

通过上面的介绍我们发现利用RageAgainstTheCage漏洞，可以使adbd获得root权限，也就是adb获得了root权限。拿到root权限剩下的问题就好办了，复制破解之后的su程序到系统中（见上文《Android系统root破解原理分析》的介绍），都是没有什么技术含量的事情了。

其实堵住adbd的这个漏洞其实也挺简单的：

 
/* then switch user and group to "shell" */ 
if (setgid(AID_SHELL) != 0) { 
    exit(1); 
} 
if (setuid(AID_SHELL) != 0) { 
    exit(1); 
} 
 

如果发现setgid和setuid函数执行失败，则adbd进程异常退出，就把这个漏洞给堵上了。为什么这么多设备都没有堵上这个漏洞呢？我觉得是设备厂商的策略（不排除傻X的厂商存在哦），虽然知道怎么封堵漏洞但是就是留着个后门给大家，让第三方给自己定制 rom，提高自己系统的易用性。

至此我们把root的过程和root之后系统情况都进行了介绍，相信你也不会对root破解再神秘了吧！你对本文和上文有什么意见欢迎和我探讨。

原文