在HTC One X AT&T 1.85固件及更早的版本上，預(yù)裝了一款A(yù)TT Ready2Go應(yīng)用，該程序以system用戶運(yùn)行，具有設(shè)置wifi、導(dǎo)入聯(lián)系人、更換壁紙和安裝應(yīng)用程序等功能，我們可以利用此程序存在的漏洞獲取設(shè)備Root權(quán)限。
　　一、漏洞與利用詳情
　　漏洞出現(xiàn)在Ready2Go安裝應(yīng)用程序的流程上。
　　Ready2Go安裝應(yīng)用完整程序流程如下：
　　1、第一次通過Read2Go安裝應(yīng)用時(shí)，Read2Go建立下載目錄“/data/install”，并且運(yùn)行“chmod 777 /data/install”，賦予所有用戶rwx權(quán)限。
　　2、當(dāng)用戶通過該程序安裝應(yīng)用程序時(shí)，Read2Go會(huì)把應(yīng)用程序下載到“/data/install”目錄，并且運(yùn)行“chmod 666 /data/install/”。
　　3、下載完成后，Read2Go開始安裝下載的程序，安裝成功后刪除下載的apk文件。
　　利用該漏洞獲取Root權(quán)限完整流程如下：
　　1、查看“/data/install”目錄是否存在，如不存在，可以通過Ready2Go下載安裝任意應(yīng)用程序的方式來創(chuàng)建該目錄。
　　2、挑選一個(gè)已知包名的應(yīng)用程序，如“com.att.android.markthespot.apk”,然后通過以下命令建立軟連接到“/data/local.prop”文件。
　　adb shell ls -s /data/local.prop /data/install/com.att.android.markthespot.apk
　　3、通過Ready2Go下載挑選的應(yīng)用程序，由于/data/install/com.att.android.markthespot.apk是/data/local.prop文件的軟連接，Ready2Go對(duì)下載文件的操作的作用在了/data/local.prop文件(Read2Go具有system權(quán)限，可以操作/data/local.prop文件)，/data/local.prop就被修改為全局可讀寫。
　　4、通過adb reboot命令打斷Read2Go的安裝流程，阻斷Read2Go安裝成功后的刪除apk操作。
　　5、設(shè)備重新啟動(dòng)后，/data/local.prop就被遺留為全局可讀寫的。
　　adb shell “echo ‘ro.kernel.qemu=1′ > /data/local.prop”
　　adb reboot
　　6、設(shè)備重新啟動(dòng)后，由于ro.kernel.qemu=1，所以adb不降權(quán)，這樣adb shell連接設(shè)備就得到了以root身份運(yùn)行的shell。
　　(設(shè)備啟動(dòng)過程中，系統(tǒng)加載/data/local.prop配置文件設(shè)置系統(tǒng)屬性，adb 初以root運(yùn)行，之后調(diào)用setuid()降低權(quán)限。降權(quán)之前，會(huì)判斷系統(tǒng)屬性ro.kernel.qemu，如果該屬性位1，則不降權(quán)。)
【看看這篇文章在百度的收錄情況】

相關(guān)文章

• 上一篇： OPPO N1藍(lán)牙遙控器怎么用？
• 下一篇： 老年人需要什么樣的手機(jī)？