Android Root方法原理解析及Hook adbd漏洞

梦里梦外; 2023-10-18 09:27 134阅读 0赞

#### 1 简介： ####

在早期的Android系统中，就有一个Adbd漏洞，可能带来危险，本篇对这个漏洞进行一个分析说明。

第三方应用程序可以获取root权限。

在linux中，我们可以使用su命令来切换至root用户（当然，需要输入正确的root用户密码）。  
Android系统底层也是采用的Linux系统，用户管理同样不例外。  
对于第三方应用程序，如果获取了root权限，相当于整个Android系统都被打开了后门，第三方应用程序就能够访问其它应用或者Android系统的资源（数据，文件...），这是非常危险的。

#### 2 adbd介绍： ####

adbd是android系统中的一个守护进程，而且具有root权限，是Android系统启动后，init进程启动的。  
我们使用adb命令，执行的结果，其实就是通过和手机中的adbd守护进程进行交互，从而获取到了结果。下表是手机中的一个进程列表：

> USER PID PPID VSIZE RSS WCHAN PC NAME  
> root 1 0 548 196 c00b8c14 0000d5cc S /init  
> root 2 0 0 0 c006bf70 00000000 S kthreadd  
> root 3 2 0 0 c005cc50 00000000 S ksoftirqd/0
> 
> **root 1684 1 3364 176 ffffffff 0000e8f4 S /sbin/adbd**  
> root 1692 1684 776 348 c0059cd4 afe0d0ac S /system/bin/sh

adbd源码分析：

> 代码位置： system/core/adb/
> 
> adbd源码分析，请移步至：
> 
> [android adb adbd analyse\_liranke的博客-CSDN博客][android adb adbd analyse_liranke_-CSDN]

#### 3 adbd漏洞： ####

adbd进程以root权限开始启动,然后降权到shell用户。在Android2.2及以前的版本中,ADB守护进程在降权时不会检查setuid调用的返回值；

在此之前,adb.c中的代码都是以root权限运行,以完成部分初始化工作。通过调用setuid()将用户从root切换回shell,但setuid()在shell用户进程数达到上限RLIMIT\_NPROC时，会失败，因此adb.c继续以root身份运行，而没有报错。

其中，**RLIMIT\_NPROC**是Linux内核中定义的每个用户可以运行的最大进程数。