• 闲聊ROOT权限——ROOT权限的前世今生


    近期工作一直非常忙。居然慢慢地疏远了CSDN的博客,然而在工作中遇到问题,又会被多次的引导至CSDN,故笔者抽出时间也将自己学习的成果与大家分享在这里,希望能帮助到须要帮助的人。

    本文将从几个方面,由浅至深地讲述ROOT究竟是什么东西?


    一. ROOT权限简介

    二.为什么须要ROOT

    三. ADBD的ROOT权限

    四.深入源码


    ROOT权限简单介绍:

    ROOT权限是Linux内核中的最高权限,假设你的身份是ROOT。那么你就具有了ROOT权限。

    有了最高权限。你就能够为所欲为,换句话说,假设恶意程序获取到了ROOT权限,那么就能够肆意地破坏你的手机。获取的隐私...所以厂商一般在生产手机的时候,不会提供给用户ROOT权限。官方宣称是为了保护用户手机的安全。然后装了一堆开机自己主动启动。而用户这辈子也用不到也卸载不了垃圾软件(相信使用安卓的同学们都懂我的意思),而苹果所说的越狱,也就是获取ROOT权限


    为什么须要获取ROOT权限?

    苹果用户获取ROOT权限。是为了能够免费安装各种软件。以及为了获取更加灵活的操作体验,苹果不会安装一堆恶心的软件;而安卓普通用户获取ROOT权限,最大的目的就是为了卸载这些恶心的自带软件,安卓极客用户则是为了各种折腾安卓手机,安卓开发者是为了得到日志文件,分析BUG。


    ADBD的ROOT权限:

    ADBD是什么?相信大家都看过。IT男把手机连上电脑,然后不知怎么的弹出一个黑乎乎的窗体,上面有一排排白色的英文字母,然后帅气的敲击着键盘(一般敲击 adb shell,然后进入手机),啪啪几下,能够帮你解决一些手机的问题。这个能够和手机交互的进程就是ADBD。

    这就好比,你去朋友家玩,然后你朋友家比較高端,进大门之前有个可视对讲机。那么你首先通过对讲机呼叫朋友(敲击adb shell),看看在不在家(手机是否对应adb shell这个命令)。假设朋友在家。那么就会通过对讲机为你开门(成功进入手机中)。提供这个服务的可视对讲机就相当于ADBD。

    说白了,ADBD就是能够为你提供一种进入手机内部的服务通道。

    那么为什么须要ADBD具有ROOT权限?这就涉及到还有一个与ROOT息息相关的东西——su。

    我们开机之后,使用手机的身份就是一个普通用户(user),假设运行su,那么就能够直接切换到ROOT身份。就像仙剑奇侠传三里面的景天,是个凡人,法力有限,可是大家都知道。他的前世是飞蓬将军,法力高强。天界无人能敌,仅仅有魔界至尊重楼能够与他一较高下。当他们来到天庭的时候,玉帝施法,让景天直接切换成飞蓬将军,于是他就有了飞蓬将军的记忆和法力,与重楼重新大战。su就是这样一个奇妙的命令。

    高通平台上,su的相关代码位于: LINUX/android/system/extras/su/su.c中

    事实上我们所说的越狱或者ROOT。就是把su安装到手机里面 /system/bin文件夹下,并把它的权限设置为4755,那么某些程序须要ROOT权限的时候,就能够通过su切换到ROOT身份,然后去运行。因此一般被ROOT的手机都会安装一个“超级用户”这种应用,就是用于管理哪些软件能够切换到ROOT身份,哪些不能够。保证用户安全。这个想法是非常好非常天真。对于正规的软件,人家依照你的路子来,不正规的软件。你一个小小的超级用户的应用,岂能挡我获取ROOT,虐不死你。

    那么为什么须要ADBD获取ROOT权限呢?经过上面的解说大家应该能猜到,假设ADBD有ROOT权限。就能够通过adb 工具。为所欲为。而又不留下痕迹(不安装su),能够删除自带垃圾软件,获取随意文件夹的文件。安全性较高。笔者就是通过这样的方式获取一些系统级别文件。


    深入代码:

    看了上面的文字,或许非常多人会有这种想法,原来ROOT一个手机这么简单?错!

    一点也不简单。

    首先:/system分区是仅仅读的文件系统,即你无法往system分区中写入不论什么东西,其次就算你侥幸把su安装到/system/bin下,你也没法改动它的权限为4755,再者,即使你侥幸把su的权限设为4755,你也逃只是有些手机的反root机制(即检測到有文件的权限为4755。就删除)。

    首先我们来看看su的部分代码:

     /* Until we have something better, only root and the shell can use su. */
       myuid = getuid();
        if (myuid != AID_ROOT && myuid != AID_SHELL) {
            fprintf(stderr,"su: uid %d not allowed to su
    ", myuid);
            return 1;
        }
    
    这句话告诉我们。假设运行su的不是ROOT或者SHELL用户,那就直接退出。说明切换身份时候,你必须是这两个用户。还好我们用adb shell进入。是SHELL用户,好险啊。

    if(argc < 2) {
            uid = gid = 0;
        } else {
            int gids_count = sizeof(gids)/sizeof(gids[0]);
            extract_uidgids(argv[1], &uid, &gid, gids, &gids_count);
            if(gids_count) {
                if(setgroups(gids_count, gids)) {
                    fprintf(stderr, "su: failed to set groups
    ");
                    return 1;
                }
            }
        }
    
    推断运行su的时候,有没有其他參数,我们仅仅是运行su,即argc < 2成立。su也能够切换成其他用户(argc > 2,具体看su命令的使用),这时候。uid 和 gid 都被设置为0 。即ROOT用户的ID号和组号

    if(setgid(gid) || setuid(uid)) {
            fprintf(stderr,"su: permission denied
    ");
            return 1;
       }
    
    来了来了。就是它,这就是我们终于的目的,把我变身成飞蓬将军,假设一切顺利。你就能够变身成功了(切换ROOT成功)

    /* Default exec shell. */
        execlp("/system/bin/sh", "sh", NULL);
    
    每次su之后,就会变成root#,然后就能够通过控制台继续敲命令,可是不同的是,你已经是ROOT了,权限已经非常大了。

    Android系统启动的时候,ADBD是ROOT权限,仅仅是后来被降级了,推断是否降级的函数是should_drop_privileges()这个函数:

    static int should_drop_privileges() {
    #ifndef ALLOW_ADBD_ROOT
        return 1;
    #else /* ALLOW_ADBD_ROOT */
    首先推断是否定义了ALLOW_ADBD_ROOT,假设系统都不同意你ROOT。就直接返回1,以下什么都不看了,就像找工作的时候,无论你多么厉害,假设你第一条要求都不符合,就直接把你pass了,说什么都没用,够狠的。

        int secure = 0;
        char value[PROPERTY_VALUE_MAX];
    
      /* run adbd in secure mode if ro.secure is set and
        ** we are not in the emulator
        */
       property_get("ro.kernel.qemu", value, "");
        if (strcmp(value, "1") != 0) {
            property_get("ro.secure", value, "1");
            if (strcmp(value, "1") == 0) {
                // don't run as root if ro.secure is set...
                secure = 1;
    以下就是获取系统的属性。推断是否打开ROOT权限,能够看到假设ro.kernel.qumu 这个属性被置为了。没关系再给你一次机会,推断ro.secure是否也是1。假设是。对不起你无法获得root权限。我要把secure置为1了(secure为1意味着要降级,后面会解说)。接着:

               // ... except we allow running as root in userdebug builds if the
                // service.adb.root property has been set by the "adb root" command
                property_get("ro.debuggable", value, "");
                if (strcmp(value, "1") == 0) {
                    property_get("service.adb.root", value, "");
                    if (strcmp(value, "1") == 0) {
    		    secure = 0;
                	}
                }
            }
        }
    哈哈,又给了你一次机会,我再来推断ro.debuggable是不是1,假设不是。对不起,我必需要降级,否则再给你一次机会。推断service.adb.root这个属性的值,假设也是1,那么就不降级,一般在编译ROM版本号的时候,会同事编译两个版本号。一个是project版本号,是具有ROOT权限的ADBD。这样方便开发人员调试系统,还有一个就是我们用户用的版本号,叫user版本号,这个是没有ROOT权限的,能够看到,就是通过property_get一系列属性来推断是否降级。

        return secure;
    #endif /* ALLOW_ADBD_ROOT */
    }
    最后,返回secure就可以。能够看到最后决定是否降级的变量就是secure,全部假设有源码的话。仅仅有最后将secure赋值为0。无论什么版本号。最后都是ROOT权限。

    if (should_drop_privileges()) {
            drop_capabilities_bounding_set_if_needed();
    
            gid_t groups[] = { AID_ADB, AID_LOG, AID_INPUT, AID_INET,
                               AID_NET_BT, AID_NET_BT_ADMIN, AID_SDCARD_R, AID_SDCARD_RW,
                               AID_NET_BW_STATS };
            if (setgroups(sizeof(groups)/sizeof(groups[0]), groups) != 0) {
                exit(1);
    
            /* then switch user and group to "shell" */
            if (setgid(AID_SHELL) != 0) {<span style="white-space:pre">			</span>//以前的漏洞。被封住了
                exit(1);
            }
            if (setuid(AID_SHELL) != 0) {<span style="white-space:pre">			</span>//以前的漏洞
                exit(1);
            }
    
            D("Local port disabled
    ");
        } 
    从这段代码能够看到。假设should_drop_privileges返回1,那么就能够降级了。降级函数为setgid(AID_SHELL)和setuid(AID_SHELL)。以前有黑客利用一些方法。使得setgid和setuid运行失败,即降级失败,以前的代码中是没有exit的,那么当setuid和setgid运行失败之后。就不会降级。

    ROOT不是那么轻易的。如今有非常多已知的漏洞,可是都被封锁了,全部不是每一个root工具都能root成功的。要看它採用的是什么方法来ROOT。

  • 相关阅读:
    LeetCode 137. Single Number II
    LeetCode 16. 3Sum Closest
    LeetCode 18. 4Sum
    LeetCode 15. 3Sum
    LeetCode 166. Fraction to Recurring Decimal
    LeetCode Anagrams
    Java: Difference between ArrayList and LinkedList
    LeetCode 242. Valid Anagram
    LeetCode 204. Count Primes
    Java Class Variable/Static Variable
  • 原文地址:https://www.cnblogs.com/gccbuaa/p/7141379.html
Copyright © 2020-2023  润新知