Android 4.3 安全提升,Set-UID-Root 权限提升不再起作用,原先的ROOT方法将失效

最新推荐文章于 2025-07-28 14:02:48 发布
原创 最新推荐文章于 2025-07-28 14:02:48 发布 · 置顶 · 2.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

文章深入分析了Android 4.3版本中针对ROOT权限机制所做的重大调整,特别是对su命令和superUser.apk的影响。详细解释了新加入的代码如何阻止了Set-UID-Root机制的运作,导致传统的ROOT方案失效,并对未来ROOT方案的制定提出了挑战。对于依赖ROOT权限的应用如360和腾讯等,文章强调了需要重新考虑和调整提升权限的方式。

Android目前的ROOT的基本原理,是通过系统漏洞获取ROOT SHELL权限,然后往手机里面push 最核心的两个文件,su可执行文件和superUSer.apk。 后者用于管理对应用的授权,而前者则真正用来提升权限至ROOT。 当APK需要进行高权限操作时,使用Shell方式进行: su xxxxx 即可,此时(假设用户授权了,通过superUser.apk)xxxx的命令就会以ROOT用户权限方式执行。

之所以push到手机中的su可以提升权限,其核心原理是su是Set-UID-Root的。具体原理分析,可参见本博客的 关于ROOT原理的文档,说明的非常详细了。


但是,在Android4.3中,从如下的open Source Code :

dalvik_system_Zygote.cpp-》forkAndSpecializeCommon:


  1. #ifdef HAVE_ANDROID_OS
  2. extern int gMallocLeakZygoteChild;
  3. gMallocLeakZygoteChild = 1;

  5. /* keep caps across UID change, unless we're staying root */
  6. if (uid != 0) {
  7. err = prctl(PR_SET_KEEPCAPS, 1, 0, 0, 0);

  9. if (err < 0) {
  10. ALOGE("cannot PR_SET_KEEPCAPS: %s", strerror(errno));
  11. dvmAbort();
  12. }
  13. }

  15. for (int i = 0; prctl(PR_CAPBSET_READ, i, 0, 0, 0) >= 0; i++) {
  16. err = prctl(PR_CAPBSET_DROP, i, 0, 0, 0);
  17. if (err < 0) {
  18. if (errno == EINVAL) {
  19. ALOGW("PR_CAPBSET_DROP %d failed: %s. "
  20. "Please make sure your kernel is compiled with "
  21. "file capabilities support enabled.",
  22. i, strerror(errno));
  23. } else {
  24. ALOGE("PR_CAPBSET_DROP %d failed: %s.", i, strerror(errno));
  25. dvmAbort();
  26. }
  27. }
  28. }

  30. #endif /* HAVE_ANDROID_OS */

注意红色斜体的代码,这是4.3新加入的。新加入的这些代码,会导致set-uid-root不再起作用,也就是,原先的ROOT方案中的su+superUser.apk的模式不再工作了!!黑客们需要重新考虑新的ROOT方案了!360,腾讯等等一系列使用了ROOT权限的应用需要等待新的ROOT方案然后基于新的ROOT方案来调整提升权限的方式了,SU不再起作用了。


这里简单说明一下原因,详细的请参见Linux的Capacity机制。  


Android中每个APK的进程是Zygote Fork出来的,默认Fork出来的进程的Real UID和EUID都是继承自Zygote,也就是ROOT,然后,Zygote会对子进程做一些特殊处理,上面的红色斜体代码的作用是,在新Fork的APK进程中Drop掉所有的BoundSet Capacity,原本Zygote的BoundSet Capacity是全1,然后在APK的子进程中主动的Drop掉所有的这些Capacity,接着会再调用setUID/SetGID将APK进程的UID/GID从ROOT修改为App安装时分配的ID(权限退化)。 

这样,你会看到,APK所在的进程的UID/GID退化成非ROOT了,原本还能通过su来提升权限。但是,4.3里面连所有的BoundsetCapacity也全部Drop掉了,里面包含的SETUID的capacity也Drop了,这样就导致,在APK所在的进程以及任意其子进程中,都无法修改UID了,即便通过set-UID-Root方式也无法修改了。

set-uid 实验
fyyuan的博客
03-17 2172
csdn不能直接复制粘贴图片真的很麻烦啊啊啊啊。。。所以下面的没有图片。。 具体的操作流程可以看http://www.cnblogs.com/20125127bxx/p/4472261.html这个博客。 Set-UID Program Vulnerability 个人收获:通过本次实验,对set-uid的理解更加深入了,set-uid提供给了普通用户一个临时使用root功能
Android4.3 user版本提权root
kevin's cache的专栏
12-18 2108
Android user版本提权root: 软件版本:android4.3 硬件平台:marvell 方案一: 第一步,修改adb.c,添加可执行程序,完成root,修改如下: adb.c: 注释掉下列部分, /* then switch user and group to "shell" */ if (setgid(AID_SHELL) != 0) {
Android adb setuid提权漏洞的分析(转)
weixin_30940783的博客
08-29 386
原文:http://blog.claudxiao.net/2011/04/android-adb-setuid/ 去年的Android adb setuid提权漏洞被用于各类root刷机,漏洞发现人Sebastian Krahmer公布的利用工具RageAgainstTheCage(rageagainstthecage-arm5.bin)被用于z4root等提权工具、Trojan.Android...
android.uid.root,Android UID的分配、查看及相关知识
weixin_35315373的博客
05-27 857
uid pid gid gids 的含义和作用uid 的分配查看应用UID 的几种方式通过uid获取包名,通过包名获取uid下面所有涉及的示例代码都是基于 Android 8.1的。1. uid pid gid gids 的含义和作用uid: androiduid用于标识一个应用程序,uid在应用安装时被分配,并且在应用存在于手机上期间,都不会改变。一个应用程序只能有一个uid...
Android系统权限和root权限
大木星的某卫星上的小角落
03-19 1050
Android系统权限和root权限 1. Android权限说明     Android系统是运行在Linux内核上的,Android与Linux分别有自己的一套严格的安全及权限机制,Android系统权限相关的内容,(一)linux文件系统上的权限-rwxr-x--x system   system       4156 2012-06-30 16:12 test.apk.    代表的是相应...
基础漏洞I set-UID 定义\用法\攻击;权限泄漏;程序调用;特权SUID程序中的安全缺陷;如何提高特权程序的安全
CHERRY_cong的博客
03-15 2047
基础漏洞I set-UID 定义,几种常见攻击方法;权限泄漏;调用攻击 Linux 系统,最常见的文件权限有 3 种,除此之外,我们有时会看到 s(针对可执行文件或目录,使文件在执行阶段,临时拥有文件所有者的权限)和 t(针对目录,任何用户都可以在此目录中创建文件,但只能删除自己的文件),文件设置 s 和 t 权限,会占用 x 权限的位置。 seed@seed-virtual-machine:~$ ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 68208 5月
软件安全课程实验1 Environment Variable and Set-UID Program
zino00的博客
01-27 2470
环境变量和set-UID程序
system()函数的setuid程序得不到root的权限;system()函数的suid失效问题
CHERRY_cong的博客
03-23 1279
system()函数的setuid程序得不到root的权限;system()函数的suid失效问题 相关背景: 老师上课讲了setuid程序;但是在调用system()函数时setuid不起作用 基础漏洞I set-UID 定义\用法\攻击;权限泄漏;程序调用;特权SUID程序中的安全缺陷;如何提高特权程序的安全性 问题描述: 对调用system()函数的程序catall.c 如下;当设置根用户setuid权限后,理想情况下这个程序应该运行 /bin/cat 程序,可以查看所有的文件,但不能写入任何文
AI系统安全加固方案:架构师如何防范权限提升攻击
最新发布
AI天才研究院
07-28 1089
在AI技术飞速发展的今天,AI系统已成为企业核心竞争力的重要组成部分。然而,随着AI系统复杂度的提升和应用范围的扩大,其安全风险也日益凸显,其中权限提升攻击因其隐蔽性强、危害巨大而成为最令架构师头疼的安全威胁之一。本文将从AI系统的特殊性出发,深入剖析权限提升攻击的技术原理、攻击向量和防御挑战,提供一套系统化的安全加固方案,帮助架构师构建抵御权限提升攻击的纵深防御体系。
安卓漏洞学习(五):Android root原理
beefreesky的博客
10-13 2354
越狱 root
android 6 编译 root权限,Android应用获得Root权限
weixin_39652760的博客
05-26 544
要让Android应用获得Root权限,首先Android设备必须已经获得Root权限。应用获取Root权限的原理:让应用的代码执行目录获取最高权限。在Linux中通过chmod777 [代码执行目录]代码如下:publicstaticbooleanupgradeRootPermission(StringpkgCodePath){Processprocess=null;DataOutpu...
Root exploit for Android (adb setuid)
莫灰灰的专栏
07-02 4570
/* 本文章由 莫灰灰 编写,转载请注明出处。   作者:莫灰灰    邮箱: minzhenfei@163.com */ 1. 漏洞分析 这是个很老的漏洞了,主要利用adb启动的时候调用setuid函数降到shell权限,却没有判断setuid返回失败的情况,因此造成了root的可能 如下是已经修复漏洞后的代码: 原本的代码大致如下: setgid(A
Android程序的安全系统
weixin_30299709的博客
11-13 130
Android程序的安全系统 Android框架是基于Linux内核构建,所以Android安全系统也是基于Linux的安全架构建立的。在Linux安全系统中,用户和组 起着重要的作用,Linux中所有的资源给不同的用户和用户组设置了不同的访问属性。如果你对Linux下面用户和组的概念不熟悉,请先补习一下 Linux基础知识。 在Androi...
android+4.3+root+set-uid-root,Android4.3 user版本提权root
weixin_35950078的博客
05-27 340
Android user版本提权root:软件版本:android4.3硬件平台:marvell方案一:第一步,修改adb.c,添加可执行程序,完成root,修改如下:adb.c:注释掉下列部分,/* then switch user and group to "shell" */if (setgid(AID_SHELL) != 0) {exit(1);if (setuid(AID_SHELL) ...
android 9.0user版本如何开启root,打开su
热门推荐
Framework-coder的博客
06-23 1万+
在默认情况下,adbd是以uid root的权限启动的。不过它确实还会通过函数drop_privileges()主动把自己降到uid shell : shell,如下: # /system/core/adb/daemon/main.cpp static void drop_privileges(int server_port) { ScopedMinijail jail(minijail_new()); // Add extra groups: // AID_ADB to acc
apk获取system权限及root权限
淡淡的宁静的博客
01-09 5943
获取system权限: 1.在manifest的manifest标签中加入属性:android:sharedUserId="android.uid.system"   同一个uid可以像在同一进程一样可以互相访问资源,拥有同样的权限,但是必须使用相同的密钥签名 2.Android.mk中加入LOCAL_CERTIFICATE := platform    指定LOCAL_CERTIFIC
申请system权限
chun1234567的专栏
10-20 423
prctl(PR_SET_KEEPCAPS, 1, 0, 0, 0);     int err = setuid(AID_SYSTEM);     if(err != 0)     {         LOGI("change uid to system failed:%s", strerror(errno));     }     struct __user_cap_header
prctl系统调用
嵌入式
04-03 1895
<br />可以实现对进程的一个操作。<br /> #include <sys/prctl.h><br /><br />        int prctl(int option, unsigned long arg2, unsigned long arg3,<br />                  unsigned long arg4, unsigned long arg5);<br /><br />  PR_CAPBSET_READ<br />PR_CAPBSET_DROP<br /> <br
Android系统 理解/sys/目录权限和UID和GID?
我其实什么都不会
08-11 3175
本文介绍了Android中/sys/目录的生成和权限,以及AndroidUID和GID的分配和查看。希望本文对你有所帮助。
android中如何在rc中获取root权限?
03-31
<think>嗯,用户问的是如何在Android的RC文件中获取Root权限。首先,我得回忆一下Android系统的启动流程和相关组件。RC文件,也就是init.rc文件,属于Android初始化系统的一部分,由init进程解析执行。init进程是Android启动时第一个用户空间进程,负责挂载文件系统、启动服务等。 用户想要通过RC文件获取Root权限,这通常意味着他们想在某些服务或命令中以root身份运行。但Android安全机制比较严格,默认情况下不允许普通进程获得root权限。所以需要了解如何正确配置RC文件中的服务或命令,使其以root权限运行。 首先,在RC文件中定义服务时,可以通过`user`和`group`选项指定运行的用户和组。如果将user设为root,那么该服务就会以root权限运行。例如: ``` service myservice /system/bin/myservice user root group root ... ``` 不过,现代Android系统通常会对这种配置进行限制,因为直接以root运行服务可能存在安全风险。可能需要修改SELinux策略,确保该服务被允许以root身份执行。比如,在SELinux的.te文件中添加相应的权限规则,允许服务访问需要的资源。 另外,用户可能需要通过setuidsetgid的方式提升权限,但这在Android中并不常见,且同样受SELinux限制。还有一种方法是在启动脚本中使用`su`命令,但普通系统可能没有su,或者需要特定权限才能调用。 需要注意的是,修改系统分区和init.rc文件通常需要解锁Bootloader并刷入修改后的系统镜像,这会导致设备保修失效,并可能带来安全风险。此外,不同Android版本和厂商定制系统可能有不同的机制,比如有些厂商会加强init进程的安全策略,阻止普通服务以root运行。 总结下来,步骤大致是:在RC文件中配置服务以root用户运行,处理SELinux策略,必要时修改系统镜像。但必须提醒用户相关风险,以及不同设备和系统版本的差异。同时,生成相关问题需要考虑用户可能遇到的后续问题,比如SELinux配置、系统修改方法等。</think>### Android RC文件获取Root权限的方法Android系统中,`init.rc`文件是初始化进程(init)的配置文件,用于定义系统启动时的服务和动作。若需通过RC文件获取Root权限,需遵循以下步骤: --- #### 1. **修改服务定义** 在`init.rc`中定义服务时,可通过`user`和`group`字段指定以root身份运行: ```rc service my_root_service /system/bin/my_binary user root # 以root用户运行 group root # 以root组运行 class main oneshot # 执行一次后退出 ``` 此配置会使`my_binary`以root权限启动[^1]。 --- #### 2. **SELinux策略调整** 若设备启用SELinux(如Android 4.3+),需在策略文件(`.te`)中添加权限: ```te # 允许服务域访问root权限 allow my_root_service domain:process { transition sigchld }; allow init my_root_service:service_manager add; ``` 编译后需将新策略刷入设备[^2]。 --- #### 3. **使用`setuid`或`setgid`(可选)** 在二进制文件中通过代码提升权限: ```c if (setuid(0) != 0 || setgid(0) != 0) { // 错误处理 } ``` 需确保二进制文件具有`suid`标志: ```bash chmod 4755 /system/bin/my_binary ``` --- #### 4. **修改系统镜像** 因`init.rc`位于只读的`system`分区,需通过以下步骤修改: 1. 解锁Bootloader 2. 提取`boot.img`并解包 3. 修改`init.rc`并重新打包刷入 --- #### 注意事项 - **兼容性问题**:不同Android版本对`init.rc`解析逻辑可能不同,需测试目标设备。 - **安全风险**:Root权限滥用可能导致系统不稳定或安全漏洞。 - **厂商限制**:部分厂商(如华为、小米)会加固init进程,需额外绕过限制。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值