Android提权漏洞分析——rageagainstthecage(sudo提权漏洞)

推荐整理分享Android提权漏洞分析——rageagainstthecage(sudo提权漏洞)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:android提权漏洞emp,linux提权漏洞,linux提权漏洞,root提权漏洞,本地提权漏洞,root提权漏洞,android 提权,android提权漏洞emp,内容如对您有帮助，希望把文章链接给更多的朋友！

Android adb setuid提权漏洞由Sebastian Krahmer在年公布，并发布利用工具RageAgainstTheCage (rageagainstthecage-arm5.bin)。该工具被广泛用于SuperOneClick、z4root等root工具和Trojan.Android.Rootcager、DreamDroid等恶意代码中。

该工具支持Gingerbreak 2.2.X及更低版本的系统。

漏洞原理：

adb启动时最初拥有root权限，在运行过程中需要降成shell权限。如下所示，adb源码中对于setgid()和setuid()没有检查返回&#;，导致降权失败后继续运行。

于是利用linux对shell进程存在数量限制的特点，产生大量僵尸进程来造成降权失败，这样继续运行的adb进程就拥有root权限。

从漏洞修补后的adb源码中我们可以看出，增加了对返回&#;的检查。

漏洞修补前的adb源码：

漏洞修补后的adb源码：

The Android Exploid Crew小组后来发布了一份PoC代码：rageagainstthecage.c[1]，我们对此进行分析。

各函数功能：

函数 die()：反馈错误信息

函数 find_adb()：在当前进程空间中查找adb进程，并返回其进程号

函数 restart_adb()：杀死adb进程

函数 wait_for_root_adb()：循环检测adb进程是否重启（此处kill(-1, 9); ()不太理解，推测应该是结束所有僵尸进程），重启的adb进程应该就具有root权限

从main函数中我们可以看出漏洞利用具体方法：

main函数首先检测系统对shell进程数量是否存在上限（RLIMIT_NPROC)，如果存在则查找adb进程。此处利用匿名管道（pepe[2]）进行同步，fork()的父进程在read()处阻塞，而子进程无限循环fork()产生新的子进程，新的子进程直接exit(0)形成大量僵尸进程，占用shell进程号。直到达到进程号上限，fork()将失败，这时调用write()使得父进程解除阻塞重启adb进程。最后调用wait_for_root_adb等待新的adb启动即可（adb属于系统服务，如果终止会被系统自动重启）。

参考文献

[1

android SQLite数据库的简单用法 在android平台上使用的是嵌入式关系型数据库SQLite，SQLite3支持NULL、INTEGER、REAL（浮点数字）、TEXT（文本）、BLOB（二进制对象）数据类型。但实际上它也

Material Design 中文版-Introduction（概述） 概述我们挑战自我，为用户创造了崭新的视觉设计语言。与此同时，新的设计语言除了遵循经典设计定则，还汲取了最新的科技，秉承了创新的设计理

Android 自定义Dialog样式 1.首先在资源里面建立style的value；[html]viewplaincopy!--ShareDialog--stylename=Theme.ShareDialogparent=android:style/Theme.Dialogitemname=android:windowBackground@drawable/fill_box/itemitem