-
-
[旧帖] [求助]zergrush获取android的root权限的原理 0.00雪花
-
发表于: 2012-12-20 20:32
-
最近想root一部android手机,但手机蛋疼地用了Intel的Atom处理器
,于是遇到了点难题。
谨遵“自己动手,丰衣足食”的教诲,我想在了解zergrush攻击原理后,把程序里ARM相关的部分改成x86平台的。
这是我已经找到的一些资料:
[1] Non-Executable Stack ARM Exploitation Research Paper
[2] 【原创】Android提权代码zergRush分析
[3] Android Root方法原理解析及Hook(三) FrameworkListener漏洞
[4] 漏洞 — zergRush
[5] 漏洞 — zergRush (补充)
文献[1]介绍了ARM上利用缓冲区溢出漏洞进行攻击的基本原理,[2]~[5]介绍了zergrush攻击的大致原理,但感觉仍有很多细节没有说清楚(还是我太弱了?
)。比如,现在我卡在了这样一些问题上:
(1)argv[FrameworkListener::CMD_ARGS_MAX]在溢出后,栈上溢出的部分貌似放的是字符串指针(指针由strdup返回),而不是字符串本身(system()的入口地址等),那就不能实现文献[1]中的攻击了?
(2)do_fault()这个函数是构造溢出和shellcode的关键,里面的s_heap_addr,s_stack_pivot_addr等变量有什么用?
望高手不吝赐教,拜谢!
,于是遇到了点难题。谨遵“自己动手,丰衣足食”的教诲,我想在了解zergrush攻击原理后,把程序里ARM相关的部分改成x86平台的。
这是我已经找到的一些资料:
[1] Non-Executable Stack ARM Exploitation Research Paper
[2] 【原创】Android提权代码zergRush分析
[3] Android Root方法原理解析及Hook(三) FrameworkListener漏洞
[4] 漏洞 — zergRush
[5] 漏洞 — zergRush (补充)
文献[1]介绍了ARM上利用缓冲区溢出漏洞进行攻击的基本原理,[2]~[5]介绍了zergrush攻击的大致原理,但感觉仍有很多细节没有说清楚(还是我太弱了?
)。比如,现在我卡在了这样一些问题上:(1)argv[FrameworkListener::CMD_ARGS_MAX]在溢出后,栈上溢出的部分貌似放的是字符串指针(指针由strdup返回),而不是字符串本身(system()的入口地址等),那就不能实现文献[1]中的攻击了?
(2)do_fault()这个函数是构造溢出和shellcode的关键,里面的s_heap_addr,s_stack_pivot_addr等变量有什么用?
望高手不吝赐教,拜谢!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
