本帖最后由 jackson 于 2017-4-16 20:55 编辑
通过参照
[FAQ11414]android KK 4.4 版本后,user 版本su 权限严重被限制问题说明
http://www.voidcn.com/blog/wds1181977/article/p-6157006.html
明确要修改三个地方:
(1)把dalvik/vm/native/dalvik_system_Zygote.cpp文件中函数forkAndSpecializeCommon里面以下代码注释掉。
for (int i = 0; prctl(PR_CAPBSET_READ, i, 0, 0, 0) >= 0; i++) {
err = prctl(PR_CAPBSET_DROP, i, 0, 0, 0);
if (err < 0) {
if (errno == EINVAL) {
ALOGW("PR_CAPBSET_DROP %d failed: %s. "
"Please make sure your kernel is compiled with "
"file capabilities support enabled.",
i, strerror(errno));
} else {
ALOGE("PR_CAPBSET_DROP %d failed: %s.", i, strerror(errno));
dvmAbort();
}
}
}
(2)把dalvik/vm/Init.cpp文件中函数initZygote()里面的以下代码注释掉。
if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0) < 0) {
// Older kernels don't understand PR_SET_NO_NEW_PRIVS and return
// EINVAL. Don't die on such kernels.
if (errno != EINVAL) {
SLOGE("PR_SET_NO_NEW_PRIVS failed: %s", strerror(errno));
return -1;
}
}
(3)关闭SELinux,可通过命令setenforce 0 临时关闭。
通过测试发现,su权限仍然被限制,无法让app临时获取root权限。系统应该在某些地方还做了权限限制。
纠结了一阵子,后面在了解Zygote相关知识的过程中发现有一种方式可以让app永久获取root权限,说明如下。
因为所有Android应用进程都是zygote fork出来的,新fork出来的应用进程还保持着root权限,这显然是不被允许
的,所以这个fork出来的子进程的权限需要被降级。
这个降级操作的代码也是在dalvik/vm/native/dalvik_system_Zygote.cpp文件中函数forkAndSpecializeCommon里面:
err = setresgid(gid, gid, gid);
if (err < 0) {
ALOGE("cannot setresgid(%d): %s", gid, strerror(errno));
dvmAbort();
}
err = setresuid(uid, uid, uid);
if (err < 0) {
ALOGE("cannot setresuid(%d): %s", uid, strerror(errno));
dvmAbort();
}
系统通过调用setresgid和setresuid将APK进程的uid/gid从root修改为App安装时分配的id,也就是做了权限退化。
尝试把这部分代码注释掉,让android所有fork出的进程都具有root,更新系统后,发现机器启动异常,查看log:
I/Zygote (31781): Accepting command socket connections
I/ (31986): System server: starting sensor init.
D/SensorService(31986): nuSensorService starting...
E/Sensors (31986): open_sensors called begin.
I/QCOM PowerHAL(31986): QCOM power HAL initing.
I/SystemServer(31986): Entered the Android system server!
I/SystemServer(31986): Waiting for installd to be ready.
I/SystemServer(31986): Enabled StrictMode logging for WM Looper
I/Installer(31986): connecting...
I/Installer(31986): disconnecting...
E/Installer(31986): connection failed
日志表明,系统应该挂在了安装应用环节。具体缘由还没去研究,估计系统作了security check,禁止某些进程
具有root权限。
于是换种方式修改:
if(gid < 10062) {
err = setresgid(gid, gid, gid);
if (err < 0) {
ALOGE("cannot setresgid(%d): %s", gid, strerror(errno));
dvmAbort();
}
}
if(uid < 10062) {
err = setresuid(uid, uid, uid);
if (err < 0) {
ALOGE("cannot setresuid(%d): %s", uid, strerror(errno));
dvmAbort();
}
}
修改思路是让安装的非内置的app具有root权限。10062这个id值不固定,根据不同机器内置的apk数量来定。android默
认10000到99000的AID是分配给应用程序的,具体可参考system/core/include/private/android_filesystem_config.h
结合上文(1)和(2)的修改(SELinux不需要关闭),安装的app具有了root权限,su权限解放。
后期补充:
经过测试,这种方式获取root会导致一些app运行不了,通过函数setcapability来bypass掉DAC检测后能正常运行app。
考虑安全性问题,请读者慎用这种方式获取root。
可通过这样的方式:在init.rc里面创建service,这样肯定具有root权限,app通过socket方式与service通信。
)
~~求大神指点...)
