android su 通过源码编译出来的;
文件位置: $android/system/extras/su/
Android.mk:
LOCAL_PATH:= $(call my-dir)
include $(CLEAR_VARS)
LOCAL_SRC_FILES:= su.c
LOCAL_MODULE:= su
LOCAL_FORCE_STATIC_EXECUTABLE := true
LOCAL_STATIC_LIBRARIES := libc
LOCAL_MODULE_PATH := $(TARGET_OUT_OPTIONAL_EXECUTABLES)
LOCAL_MODULE_TAGS := debug
include $(BUILD_EXECUTABLE)
LOCAL_MODULE_TAGS 为debug 表示,只有debug版本才编译;
如果希望在其他,参看:http://blog.csdn.net/passerbysrs/article/details/46650113
再看源码:
/*
**
** Copyright 2008, The Android Open Source Project
**
** Licensed under the Apache License, Version 2.0 (the "License");
** you may not use this file except in compliance with the License.
** You may obtain a copy of the License at
**
** http://www.apache.org/licenses/LICENSE-2.0
**
** Unless required by applicable law or agreed to in writing, software
** distributed under the License is distributed on an "AS IS" BASIS,
** WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
** See the License for the specific language governing permissions and
** limitations under the License.
*/
#define LOG_TAG "su"
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
/*
* SU can be given a specific command to exec. UID _must_ be
* specified for this (ie argc => 3).
*
* Usage:
* su 1000
* su 1000 ls -l
*/
int main(int argc, char **argv)
{
struct passwd *pw;
int uid, gid, myuid;
/* Until we have something better, only root and the shell can use su. */
myuid = getuid();
if (myuid != AID_ROOT && myuid != AID_SHELL) {
fprintf(stderr,"su: uid %d not allowed to su\n", myuid);
return 1;
}
if(argc < 2) {
uid = gid = 0;
} else {
pw = getpwnam(argv[1]);
if(pw == 0) {
uid = gid = atoi(argv[1]);
} else {
uid = pw->pw_uid;
gid = pw->pw_gid;
}
}
if(setgid(gid) || setuid(uid)) {
fprintf(stderr,"su: permission denied\n");
return 1;
}
/* User specified command for exec. */
if (argc == 3 ) {
if (execlp(argv[2], argv[2], NULL) < 0) {
fprintf(stderr, "su: exec failed for %s Error:%s\n", argv[2],
strerror(errno));
return -errno;
}
} else if (argc > 3) {
/* Copy the rest of the args from main. */
char *exec_args[argc - 1];
memset(exec_args, 0, sizeof(exec_args));
memcpy(exec_args, &argv[2], sizeof(exec_args));
if (execvp(argv[2], exec_args) < 0) {
fprintf(stderr, "su: exec failed for %s Error:%s\n", argv[2],
strerror(errno));
return -errno;
}
}
/* Default exec shell. */
execlp("/system/bin/sh", "sh", NULL);
fprintf(stderr, "su: exec failed\n");
return 1;
}
来看看uid的定义:
system/core/include/private/android_filesystem_config.h:
#define AID_ROOT 0 /* traditional unix root user */
#define AID_SHELL 2000 /* adb and debug shell user */
一些预备知识:
getpwnam() 用于获取用户登录相关信息
getuid()用来取得执行目前进程的用户识别码
execlp
int execlp(const char * file,const char * arg,...,(char *)0);
execlp()会从PATH 环境变量所指的目录中查找符合参数file的文件名,找到后便执行该文件,然后将第二个以后的参数当做该文件的argv[0]、argv[1]……,最后一个参数必须用空指针(NULL)作结束。
setgid和setuid :
参看http://blog.chinaunix.net/uid-793704-id-2545508.html
http://blog.csdn.net/passerbysrs/article/details/46650731
目的:setuid 和setgid是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。
内核检查一个进程是否具有访问某权限时,是使用进程的有效用户 ID 来进行检查的;
UID和GID这样的标识符会影响文件的所有权和访问许可,以及向其它进程发送信号的能力。这些属性统称为凭证。
每个进程都有两对ID ——真实的和有效的。当一个用户登录的时候,login程序会把两对ID设置成密码数据库(/etc/passwd文件,或某些如Sun Microsystems的NIS之类的分布式机制)中指定的UID和GID。当一个进程fork的时候,子进程将从父进程那儿继承它的凭证。
有效UID和有效GID印象文件的创建和访问。在创建文件的时候,内核将文件的所有者属性设置成创建进程的有效UID和有效GID。在访问文件的时候,内核使用进程的有效UID和GID来判断它是否能够访问该文件。真实UID和真实GID标识进程的真实所有者,会影响到发送信号的权限。对于一个没有超级用户权限的进程来说,仅当它的真实或有效UID于另一个进程的真实UID匹配时它才能向那个进程发送信号。
setuid系统调用的语法是 setuid(uid) ,其中,uid是新的用户ID,该系统调用的结果取决于有效用户ID的当前值。
如果调用进程的有效用户ID是超级用户,内核会把进程表以及u区中的真实和有效用户ID都设置成uid。
如果调用进程的有效用户ID不是超级用户,仅当uid等于真实用户ID或保存用户ID时,内核才会把u区中的有效用户ID设置成uid。
否则,该系统调用将返回错误。
一般来说,一个进程会在fork系统调用期间从父进程那儿继承它的真实和有效用户ID,这些数值即使经过exec系统调用也会保持不变。
在 root 下,实际用户 ID 和有效用户 ID 均能被设为 setuid() 修改。
比如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件。
我们知道/etc/passwd文件是用户管理的配置文件,只有root权限的用户才能更改。
[root@localhost ~]# ls -l /etc/passwd
-rw-r--r-- 1 root root 2379 04-21 13:18 /etc/passwd
[root@localhost ~]# ls -l /usr/bin/passwd
-r-s--x--x 1 root root 21944 02-12 16:15 /usr/bin/passwd
因为/usr/bin/passwd 文件已经设置了setuid 权限位(也就是r-s--x--x中的s),所以普通用户能临时变成root,间接的修改/etc/passwd,以达到修改自己口令的权限。
setuid和setgid的实例应用;[root@localhost ~]#cd /home 注:进入/home目录
[root@localhost home]# touch beinantest.txt 注:创建一个测试文件;
[root@localhost home]# ls -l beinantest.txt 注:查看文件属性;
-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt 注:文件的属性;
[root@localhost home]# su beinan 注:切换到普通用户 beinan
[beinan@localhost home]$ rm -rf beinantest.txt 注:以普通用户身份来删除beinantest.txt文件;
[root@localhost ~]# ls -l /bin/rm
-rwxr-xr-x 1 root root 93876 02-11 14:43 /bin/rm
[root@localhost ~]# chmod 4755 /bin/rm 注:设置rm的权限为4755 , 就把setuid 位设置好了。
[root@localhost ~]# ls -l /bin/rm
-rwsr-xr-x 1 root root 43980 02-11 14:43 /bin/rm
[root@localhost ~]# cd /home/
[root@localhost home]# su beinan 注:切换到beinan用户身份;
[root@localhost home]$ ls -l beinantest.txt 注:查看文件属性;
-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt 注:文件的属性;
[beinan@localhost home]$ rm -rf beinantest.txt 注:删除beinantest.txt文件;
开始分析:
a. 执行用户权限识别
getuid() 之后判定当前执行用户的uid是否是root 或者debug shell user
b. 判定参数
如果 argc < 2 : 表示只执行了su ; 那么就将uid和gid都设为0,即Root账户的uid与gid
否则的话: 比如su ryan , 则通过getpwnam() 获取ryan的相关信息,并将ryan的uid和gid取出来保存;
c. setgid 和setuid
假设当前进入系统后的用户是alex, 在./下有个cmd 二进制,它的创建有拥有者是ryan;
alex是没有权限执行的;
因此必须用如下方法
比如system/xbin/su ryan cmd others
argc[0]: su
argc[1]: ryan
argc[2]: cmd
argc[3]: others
先看看init.rc的权限:
setuid = chmod u+s xxx # 设置setuid权限setgid = chmod g+s xxx # 设置setgid权限
首先获取ryan的 uid和gid
然后通过setuid和setgid将ryan的uid和gid设置到进程中;
这个时候就相当于用ryan得权限执行了cmd
从这里可以看出,如果系统中存在su;
即使是普通用户,只要将
if (myuid != AID_ROOT && myuid != AID_SHELL) {
fprintf(stderr,"su: uid %d not allowed to su\n", myuid);
return 1;
}