打工人打工魂打工都是人上人

打工人们好
前言:

最近工作中遇到需要Android执行sh脚本,app调试等问题.
官方的系统镜像安装magisk之后adb root之后报adbd cannot run as root in production builds

尝试查看系统源码解决

在packages/modules/adb/daemon/restart_service.cpp中找到报错信息

void restart_root_service(unique_fd fd) {
    if (getuid() == 0) {
        WriteFdExactly(fd.get(), "adbd is already running as root\n");
        return;
    }
    if (!__android_log_is_debuggable()) {
        WriteFdExactly(fd.get(), "adbd cannot run as root in production builds\n");
        return;
    }
 
    LOG(INFO) << "adbd restarting as root";
    android::base::SetProperty("service.adb.root", "1");
    WriteFdExactly(fd.get(), "restarting adbd as root\n");
}

1	可以看到`__android_log_is_debuggable()` 校验了`ro.debuggable` 我尝试通过`magisk resetprop ro.debuggable `1` 和 stop && start` 结果并没有成功.

解决方案

方案一修改adb daemon 使其不降权

static void drop_privileges(int server_port) {
    ScopedMinijail jail(minijail_new());
 
    gid_t groups[] = {AID_ADB,          AID_LOG,          AID_INPUT,    AID_INET,
                      AID_NET_BT,       AID_NET_BT_ADMIN, AID_SDCARD_R, AID_SDCARD_RW,
                      AID_NET_BW_STATS, AID_READPROC,     AID_UHID,     AID_EXT_DATA_RW,
                      AID_EXT_OBB_RW,   AID_READTRACEFS};
    minijail_set_supplementary_gids(jail.get(), arraysize(groups), groups);
 
    // Don't listen on a port (default 5037) if running in secure mode.
    // Don't run as root if running in secure mode.
    if (should_drop_privileges()) { // 判断是否降权 修改false 就行
        const bool should_drop_caps = !__android_log_is_debuggable();
 
        if (should_drop_caps) {
            minijail_use_caps(jail.get(), CAP_TO_MASK(CAP_SETUID) | CAP_TO_MASK(CAP_SETGID));
        }
 
        minijail_change_gid(jail.get(), AID_SHELL);
        minijail_change_uid(jail.get(), AID_SHELL);
        // minijail_enter() will abort if any priv-dropping step fails.
        minijail_enter(jail.get());
 
        // Whenever ambient capabilities are being used, minijail cannot
        // simultaneously drop the bounding capability set to just
        // CAP_SETUID|CAP_SETGID while clearing the inheritable, effective,
        // and permitted sets. So we need to do that in two steps.
        using ScopedCaps =
            std::unique_ptr<std::remove_pointer<cap_t>::type, std::function<void(cap_t)>>;
        ScopedCaps caps(cap_get_proc(), &cap_free);
        if (cap_clear_flag(caps.get(), CAP_INHERITABLE) == -1) {
            PLOG(FATAL) << "cap_clear_flag(INHERITABLE) failed";
        }
        if (cap_clear_flag(caps.get(), CAP_EFFECTIVE) == -1) {
            PLOG(FATAL) << "cap_clear_flag(PEMITTED) failed";
        }
        if (cap_clear_flag(caps.get(), CAP_PERMITTED) == -1) {
            PLOG(FATAL) << "cap_clear_flag(PEMITTED) failed";
        }
        if (cap_set_proc(caps.get()) != 0) {
            PLOG(FATAL) << "cap_set_proc() failed";
        }
 
        D("Local port disabled");
    } else {
        // minijail_enter() will abort if any priv-dropping step fails.
        minijail_enter(jail.get());
 
        if (root_seclabel != nullptr) {
            if (selinux_android_setcon(root_seclabel) < 0) {
                // If we failed to become root, don't try again to avoid a
                // restart loop.
                android::base::SetProperty("service.adb.root", "0");
                LOG(FATAL) << "Could not set SELinux context";
            }
        }
    }
}

1	`这种方式对于我这种打工人来说时间成本考虑还是略显臃肿不优雅`

方案二通过magisk模块去支持

这里参考了一篇大佬的分析文章Magisk 环境下增加 adb root 功能,文章提供了一段sh脚本亲测有效

#!/system/bin/sh
su -c "resetprop ro.debuggable 1"
su -c "resetprop ro.boot.verifiedbootstate orange" # 修改解锁状态
su -c "resetprop service.adb.root 1" # 减少调用 adb root
su -c "magiskpolicy --live 'allow adbd adbd process setcurrent'" # 配置缺少的权限
su -c "magiskpolicy --live 'allow adbd su process dyntransition'" # 配置缺少的权限
su -c "magiskpolicy --live 'permissive { su }'" # 将 su 配置为 permissive，防止后续命令执行缺少权限
su -c "pkill -9 adbd" # 杀掉 adbd

刚好之前研究过magisk模块编写于是打算写成一个模块fixadbroot下载地址
这里有一个坑由于我使用了Shamiko模块导致ro.debuggable=0 加上最近经常需要调试app,修改了Shamiko模块修改为可调试版本.

注意
如果安装了shamiko 需关闭才可生效.由于shamiko模块中有校验完整性暂时不处理.

也有一个小小问题

在看大佬文章的时候,有个疑问,应该是dmesg但是我没触发或者发现

缺少 SELinux 权限下面这段信息是从哪获取到的,我尝试dmesg logcat都没有发现

[ 5252.630174] type=1400 audit(1626010790.323:6145): avc: denied { setcurrent } for comm="adbd" scontext=u:r:adbd:s0 tcontext=u:r:adbd:s0 tclass=process permissive=1

[ 5252.630353] type=1400 audit(1626010790.323:6146): avc: denied { dyntransition } for comm="adbd" scontext=u:r:adbd:s0 tcontext=u:r:su:s0 tclass=process permissive=1

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2023-4-21 00:29 被iyue_t编辑，原因： so还存在校验,暂时不处理.

#逆向分析 #系统相关 #工具脚本

上传的附件：

fixadbroot-v0.2.zip （12.32kb，13次下载）

收藏・8

点赞・1

打赏

最新回复 (3)
你瞒我瞒雪币： 1726 活跃值： (8681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 2 关注私信	你瞒我瞒 2023-4-20 09:26 2 楼 0 TQL
shinratensei 雪币： 289 活跃值： (213362) 能力值： ( LV4，RANK：40 ) 在线值：发帖 1 回帖 140 粉丝 12 关注私信	shinratensei 1 2023-4-20 11:30 3 楼 0 tql
snowqun 雪币： 0 活跃值： (738) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	snowqun 2023-11-30 15:57 4 楼 0 感谢分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复