浅析adbd setuid

最新推荐文章于 2023-09-17 14:56:24 发布
最新推荐文章于 2023-09-17 14:56:24 发布
阅读量1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Android安全-Root漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/py_panyu/article/details/45224627
本文详细分析了Android ADB守护进程(adbd)在降权过程中的setuid漏洞,指出在特定版本中,当shell用户进程数达到上限时,setuid失败未被检测,导致adbd以root权限继续运行,存在安全隐患。并介绍了漏洞利用步骤,以及修复方案的参考资料。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

 

0x1 漏洞描述

 

 

ADB守护进程(adbd进程)以root权限开始启动,然后降权到shell用户.在Android2.2及以前的版本中,ADB守护进程在降权时不会检查setuid调用的返回值.

 

 

0x2 代码分析

 

//在漏洞最初被发现时,代码如下:
setgid(AID_SHELL);
setuid(AID_SHELL);

 

代码没有检测setuid的返回值.在此之前,adb.c中的代码都是以root权限运行,以完成部分初始化工作.通过调用setuid()将用户从root切换回shell,但setuid()在shell用户进程数达到上限RLIMIT_NPROC时,会失败,因此adb.c继续以root身份运行,而没有报错.

 

 

 

0x3 如何利用

 

利用程序一直fork进程直至fork调用失败,这意味着该用户的进程创建数已经到达极限.这是内核实施的强制限制,称为RLIMIT_NPROC,它指定了可以为调用进程的真实ID创建的最大进程数.在这一时间点上,漏洞利用程序杀掉adbd,导致它以root权限重新启动.这时adbd无法降权到shell,因为对于shell用户的进程限制已经达到了.setuid调用会失败,但是adbd并不检测这个失败,所以仍然继续以root权限运行.

 

 

 

if (fork() == 0) 
{
		close(pepe[0]);
		for (;;) 
		{
			if ((p = fork()) == 0)
最低0.47元/天 解锁文章

200万优质内容无限畅学
adb shell 执行后台程序后断开adb后台进程被结束的解决办法
u013463707的专栏
11-27 9839
环境:Android 版本 Android8 通常让程序后台执行就是在命令 最后加上 &即可,但是在Android 8上实验发现,程序的确后台了,但是拔掉USB线再连接上发现进程已结束。不确定Android早期版本是否存在此问题。 参考网上一些Linux方法,如加nohup 仍然无效,还是会结束。看来Android adb shell 与 Linux shell 还是有一定区别。 后...
Android adb setuid提权漏洞的分析(转)
weixin_30940783的博客
08-29 362
原文:http://blog.claudxiao.net/2011/04/android-adb-setuid/ 去年的Android adb setuid提权漏洞被用于各类root刷机,漏洞发现人Sebastian Krahmer公布的利用工具RageAgainstTheCage(rageagainstthecage-arm5.bin)被用于z4root等提权工具、Trojan.Android...
Root exploit for Android (adb setuid)
莫灰灰的专栏
07-02 4543
/* 本文章由 莫灰灰 编写,转载请注明出处。   作者:莫灰灰    邮箱: minzhenfei@163.com */ 1. 漏洞分析 这是个很老的漏洞了,主要利用adb启动的时候调用setuid函数降到shell权限,却没有判断setuid返回失败的情况,因此造成了root的可能 如下是已经修复漏洞后的代码: 原本的代码大致如下: setgid(A
Linux Setuid(SUID)和Setgid(SGID) sticky bit
weixin_30439031的博客
01-02 180
http://www.php100.com/html/webkaifa/Linux/2010/0812/6392.html  1、setuid和setgid的解说   setuid和setgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。比如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件,我们知道...
Linux权限管理:深入理解setuid、setgid、seteuid和setegid
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
09-17 1595
一个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组, 一般为文件所有者所属的组. 如果是一个可执行文件, 那么在执行时, 一般该文件只拥有调用该文件的用户具有的权限. 而setuid, setgid 可以来改变这种设置.
Linux Setuid和Setgid
weixin_34029680的博客
08-12 178
1、 setuid和setgid的解说 setuid 和setgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。比 如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件我们知道/etc/passwd文件是用户管理的 配置文件,只有root权限的用户才能更改 [root@loca...
adbd.rar adbd.apk 改名使用
06-05
标题中的"adbd.rar adbd.apk 改名使用"涉及到的是Android系统中一个关键的组件——adbd(Android Debug Bridge daemon),它是一个守护进程,主要用于开发者调试Android设备。adbd是adb(Android Debug Bridge)的一...
天猫精灵里面的ADBD可执行程序
05-27
而“ADBD”全称为“Android Debug Bridge”,是安卓系统中一个重要的工具,它在天猫精灵这样的设备中也有应用。下面将详细解释ADBD及其在天猫精灵中的作用。 ADBD是Android开发环境中的一个重要组成部分,它作为一...
adbd Insecure 2.0
01-07
adbd Insecure(超级adbd)能让您在已经ROOT的设备上强制以ROOT模式运行adbd(注意,如果您运行的是第三方内核,则可能已经具备了这项功能)。如果您的设备上运行的是原生(设备制造商的)内核,那么adbd就会以...
adbd-Insecure.apk.zip
12-31
,验证你的手机是否已经root了 adb shell su ...行命令后,$ 变为 # 即 表示root 成功 ...2,安装adbd-insecure.apk ...打开应用将Enable insecure adbd 和 enable at boot 勾选上,设置好之后重进键入:adb root即可
系统添加自定义的UID android4.4
zjy764219923的专栏
11-02 1310
1、简介 根据业务需要,需要系统自定义UID,设置相应的权限。 2、修改系统,自定义UI 1)、添加UID: 在src/LINUX/android/frameworks/base/core/java/android/os/Process.java中自定义int类型的,静态常量:MCWILL_UID @@ -144,6 +144,7 @@publicclassProcess...
Android Framework-Android启动过程
jifashihan的博客
03-06 790
对《深入理解Android内核设计思想(第2版)》 Android启动过程进行整理
user版本不能使用adb问题
kc58236582的博客
12-07 8081
最近碰到一个问题user版本不能使用adb问题。这个问题涉及到adbd和Usb相关的service代码。 一、adbd 我们先看看adbd对user版本的代码: 首先在adb_main函数中有如下代码,当ro.adb.secure属性为0的时候auth_required 变量为false。这个时候一般是debug版本(不会设置这个属性或者这个属性为0) if (ALLOW_
Linux下Setuid命令!
全世界的屋顶
12-16 2万+
在Linux系统中每个普通用户都可以更改自己的密码,这是合理的设置。 问题是:用户的信息保存在文件/etc/passwd中,用户的密码保存在文件/etc/shadow中,也就是说用户更改自己密码时是修改了/etc/shadow文件中的加密密码,但是, -rw-r--r-- 1 root root 1787 Oct 27  2009 /etc/passwd -r-------- 1 root
adb和adbd分析
热门推荐
viewsky11的专栏
12-26 3万+
在adb中有三个模块,分别是adbd,adb server,adb client,如下表所示: module name process name run as adbd adbd device/emulator adb server windows: adb.exe linux: adb client adb client such as eclipse,
Android学习总结(2016.08.13)——adb及其组成和adbd的权限问题
qq_32099621的博客
08-13 4356
adb及其组成 adb全称为Android Debug Bridge,他是一个命令行工具,一般存放于sdk目录下的platform-tool文件夹里。利用adb可以实现PC和android设备的交互。合理使用adb可以大大提高效率。 adb由三个部分组成,分别是adb client,adb daemon,和adb server。这三个部分关系如图 adb client ad
linux系统权限修复——学生误操作!
张同光 (Tongguang Zhang):Hello everyone !
03-30 2021
http://sapling.me/unixlinux/linux-system-chmod.html linux系统权限修复 发布者 sapling 于 10/06/10 ? 归类为 Unix/linux,linux linux系统如果执行了chmod -R 777 / 后,系统等于瘫痪。 因为su,mount等需要s权限(4755)的命令无法使
android系统UID定义
开发资料记录室
03-09 8047
源码目录:system\core\include\private\Android_filesystem_config.h /* * Copyright (C) 2007 The Android Open Source Project * * Licensed under the Apache License, Version 2.0 (the "License"); * you
adb指令通过uid控制_Android测试 常用adb 命令总结
weixin_39802055的博客
10-22 368
针对移动端 Android 的测试, adb 命令是很重要的一个点,必须将常用的 adb 命令熟记于心, 将会为 Android 测试带来很大的方便,其中很多命令将会用于自动化测试的脚本当中。Android Debug Bridgeadb其实就是Android Debug Bridge, Android 调试桥的缩写,adb 是一个C/S架构的命令行工具,主要由 3 部分组成:运行在 PC 端的 ...
adbd
最新发布
07-20
    adbd是Android系统特有的ADB功能中运行在手机/平板端的守护进程,其在/init.usb.rc中的启动配置为: # adbd is controlled via property triggers in init.<platform>.usb.rc service adbd /sbin/adbd --...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值