android root 許可權分析

《上篇》

       現在Android系統的root破解基本上成為大家的必備技能！網上也有很多中一鍵破解的軟體，使root破解越來越容易。但是你思考過root破解的原理嗎？root破解的本質是什麼呢？難道是利用了Linux kernal的漏洞嗎？本文將簡單對root的破解原理進行分析。

       本文只能說對root原理進行了方向性的描述，但是在一些具體的方面沒有描述清楚。本文將會對其進行一些必要的擴充和補充。

       如果你進行過程式開發，在root過的手機上面獲得root許可權的代碼如下：

   1: Process process = Runtime.getRuntime().exec("su");

   2: DataOutputStream os = new DataOutputStream(process.getOutputStream());

   3: ......

   4: os.writeBytes("exit\n");

   5: os.flush();

     從上面代碼我們可以看到首先要運行su程式，其實root的秘密都在su程式中，Android系統預設的su程式只能root和shell可以用運行su，這個是安全的。如果把這個限制拿掉，就是root破解了！

     下面我們仔細分析一下程式是怎樣獲得root許可權的，如果對Linux的su命令熟悉的朋友可能知道su程式都設定SUID位，我們查看一下My Phone（已經root破解）上的su使用權限設定，

      我們發現su的所有者和所有組都是root，是其實是busybox的軟連結，我們查看busybox的屬性探索，其設定了SUID和SGID，並且所有者和所有組都是root。SUID和SGID的作用是什麼呢？這樣運行busybox的普通使用者，busybox 運行過程中獲得的是root的有效使用者。su程式則是把自己啟動一個新的程式，並把自己許可權提升至root（我們前面提到su其實就是busybox，運行期它的許可權是root，當然也有許可權來提升自己的許可權）。

     再強調一下不光root手機上su需要設定SUID，所有的Linux系統上的su程式都需要設定SUID位。請參考一下UC伺服器的su的許可權情況：

     我們發現su也設定了SUID位，這樣普通使用者也可以運行su程式，su程式會驗證root密碼，如果正確su程式可以把使用者權限提高的root（因為其設定SUID位，運行期是root許可權，這樣其有許可權提升自己的許可權）。

     這樣我們就可以看出其實Android系統的破解的根本原理就是替換掉系統中的su程式，因為系統中的預設su程式需要驗證實際使用者權限（只有root和shell使用者才有權運行系統預設的su程式，其他使用者運行都會返回錯誤）。而破解後的su將不檢查實際使用者權限，這樣普通的使用者也將可以運行su程式，也可以通過su程式將自己的許可權提升。

     到這裡大家對root破解不感到神秘了吧。root破解沒有利用什麼Linux核心漏洞（Linux核心不可能有這麼大的漏洞存在），可以理解成root破解就是在你系統中植入“木馬su”，說它是“木馬”一點兒都不為過，假如惡意程式在系統中運行也可以通過su來提升自己的許可權的這樣的結果將會是災難性的。所以一般情況下root過手機都會有一個SuperUser應用程式來讓使用者管理允許誰獲得root許可權，也算是給系統加了一層保險吧！

     如上是作者Simon的個人對root破解的一些認識，如果有錯誤的地方，歡迎朋友們指正。

 

《下篇》

 

root破解過程的終極目標是替換掉系統中的su程式。但是要想替換掉系統中su程式本身就是需要root許可權的，怎樣在root破解過程中獲得root許可權，成為我們研究的重點了。下面我們先清點一下我們需要破解系統情況，假設需要破解的Android系統具備如下條件：

1、可以通過adb串連到裝置，一般意味著驅動程式已經安裝。        
2、但是adb獲得使用者權限是shell使用者，而不是root。

要想理解root破解過程我們首先需要瞭解一下adb工具，SDK中包含adb工具，裝置端有adbd服務程式後台運行，為開發機的adb程式提供服務，adbd的許可權，決定了adb的許可權。具體使用者可查看/system/core/adb下的源碼，查看Android.mk你將會發現adb和adbd其實是一份代碼，然後通過宏來編譯。

查看adb.c的adb_main函數你將會發現adbd中有如下代碼：

   1: int adb_main(int is_daemon)

   2: {

   3:     ......

   4:     property_get("ro.secure", value, "");

   5:     if (strcmp(value, "1") == 0) {

   6:         // don't run as root if ro.secure is set...

   7:         secure = 1;

   8:         ......

   9:     }

  10:  

  11:     if (secure) {

  12:         ......

  13:         setgid(AID_SHELL);

  14:         setuid(AID_SHELL);

  15:         ......

  16:     }

  17: }

從中我們可以看到adbd會檢測系統的ro.secure屬性，如果該屬性為1則將會把自己的使用者權限降級成shell使用者。一般裝置出廠的時候在/default.prop檔案中都會有：

   1: ro.secure=1

這樣將會使adbd啟動的時候自動降級成shell使用者。

然後我們再介紹一下adbd在什麼時候啟動的呢？答案是在init.rc中配置的系統服務，由init進程啟動。我們查看init.rc中有如下內容：

   1: # adbd is controlled by the persist.service.adb.enable system property

   2: service adbd /sbin/adbd

   3:     disabled

對Android屬性系統少有瞭解的朋友將會知道，在init.rc中配置的系統服務啟動的時候都是root許可權（因為init進行是root許可權，其子程式也是root）。由此我們可以知道在adbd程式在執行：

   1: /* then switch user and group to "shell" */

   2: setgid(AID_SHELL);

   3: setuid(AID_SHELL);

代碼之前都是root許可權，只有執行這兩句之後才變成shell許可權的。

這樣我們就可以引出root破解過程中獲得root許可權的方法了，那就是讓以上面setgid和setuid函數執行失敗，也就是降級失敗，那就繼續在root許可權下面運行了。

這其實利用了一個RageAgainstTheCage漏洞，具體分析請參考《Android adb setuid提權漏洞的分析》和《RageAgainstTheCage》。這裡面做一個簡單說明：

1、出廠設定的ro.secure屬性為1，則adbd也將運行在shell使用者權限下；

2、adb工具建立的進程ratc也運行在shell使用者權限下；

3、ratc

一直建立子進程（ratc建立的子程式也將會運行在shell使用者權限下），緊接著子程式退出，形成殭屍進程，佔用shell使用者的進程資源，直到到達shell使用者的進程數為RLIMIT_NPROC的時候（包括adbd、ratc及其子程式），這是ratc將會建立子進程失敗。這時候殺掉adbd，adbd進程因為是Android系統服務，將會被Android系統自動重啟，這時候ratc也在競爭產生子程式。在adbd程式執行上面setgid和setuid之前，ratc已經建立了一個新的子進程，那麼shell使用者的進程限額已經達到，則adbd進程執行setgid和setuid將會失敗。根據代碼我們發現失敗之後adbd將會繼續執行。這樣adbd進程將會運行在root許可權下面了。

3、這是重新用adb串連裝置，則adb將會運行在root許可權下面了。

通過上面的介紹我們發現利用RageAgainstTheCage漏洞，可以使adbd獲得root許可權，也就是adb獲得了root許可權。拿到root許可權剩下的問題就好辦了，複製破解之後的su程式到系統中。

其實堵住adbd的這個漏洞其實也挺簡單的：

   1: /* then switch user and group to "shell" */

   2: if (setgid(AID_SHELL) != 0) {

   3:     exit(1);

   4: }

   5: if (setuid(AID_SHELL) != 0) {

   6:     exit(1);

   7: }

如果發現setgid和setuid函數執行失敗，則adbd進程異常退出，就把這個漏洞給堵上了。為什麼這麼多裝置都沒有堵上這個漏洞呢？我覺得是裝置廠商的策略（不排除傻X的廠商存在哦），雖然知道怎麼封堵漏洞但是就是留著個後門給大家，讓第三方給自己定製rom，提高自己系統的易用性。

至此我們把root的過程和root之後系統情況都進行了介紹，相信你也不會對root破解再神秘了吧！你對本文和上文有什麼意見歡迎和我探討。