Android Root方法原理解析及Hook(一) adbd漏洞

来自于：http://blog.csdn.net/jackaduma/article/details/7286334

漏洞在于Android源码中的 adb.c文件 中

int main(){
    ...
    ...
    setgid(AIL_SHELL); // 失败不退出
    setuid(AIL_SHELL);  //同上
    ...
    ...
    }

int main(){
	...
	...
	setgid(AIL_SHELL); // 失败不退出
	setuid(AIL_SHELL);	//同上
	...
	...
	}

adbd进程启动，开始时会以root权限执行一些初始化操作，之后会降权至当前shell用户权限；但若降权失败，adbd进程不会退出，仍然启动起来，此时就是root权限的adbd进程

 

攻击代码原理：

      不断fork子进程(其实是孙进程)，然后退出，产生僵尸进程，使得当前shell用户的pid数达到上限，然后kill掉adbd进程，然      后再迅速fork一个，使之仍然达到上限，这样将无法再为当前用户创建进程

      过段时间，init进程会检测到当前没有adbd进程，会运行adb.c，利用漏洞得到root权限的adbd进程

...
    for(;;)
    {
        if ((p=fork())==0){
            exit(0);
        }
        else if(p<0){
            ...
        }
        else{
        ...
        }
    }
    ...

...
	for(;;)
	{
		if ((p=fork())==0){
			exit(0);
		}
		else if(p<0){
			...
		}
		else{
		...
		}
	}
	...

Myhook code:

打log至logcat输出

#include <cutils/log.h>
#define LOG_TAG "adb hooker"

int main(){
    ...
    ...

    if(setgid(AIL_SHELL)!=0){
        LOGE("failed to setgid for shell user");
        exit(0);
    }
    if(setuid(AIL_SHELL)!=0){
        LOGE("failed to setuid for shell user");
        exit(0);
    }

#include <cutils/log.h>
#define LOG_TAG "adb hooker"

int main(){
	...
	...
	
	if(setgid(AIL_SHELL)!=0){
		LOGE("failed to setgid for shell user");
		exit(0);
	}
	if(setuid(AIL_SHELL)!=0){
		LOGE("failed to setuid for shell user");
		exit(0);
	}