如果用 dex 文件修改 bootloader 或者将 bootloader 通过 USB 传给电脑?

2018-08-07 15:44:38 +08:00
 galaxy

在谷歌上记载了CVE-2017-13156, 是在我拿到的 Sugar Y9 手机固件之后发现的。所以,我想用它来 Root,也就是修改 bootloader 的 default.prop 的:ro.secure=0 与 ro.debuggable=1。

而在这个漏洞需要自己用 Java 写 dex 文件,大家谁有修改 bootloader 的 default.prop 的例子的,能否传份上 Github 么?

或者,用 dex 来安装Magisk-v16.7.zip也可以。这个手机的 Recovery 卡刷也要验证企业证书,所以我没法卡刷。

8571 次点击
所在节点    Android
10 条回复
nine99
2018-08-07 16:31:50 +08:00
有意思
galaxy
2018-08-07 16:37:20 +08:00
@nine99 我翻了几十分钟的谷歌安全公报,感觉这个 EoP bug 比较实用。2017 年 12 月 1 号前的手机应该都行。
tempdban
2018-08-07 16:47:02 +08:00
default.prop 不是在 rootfs 里么,是跟内核打包在一起的,不是在 bootloader
第二个是说可以把 dex 放在 apk 前面 然后 art 跑去运行 dex 了?

第二个 art 已经是 fork 出来的 uid 不是 root 不能随意写文件吧。
yukiww233
2018-08-07 16:49:14 +08:00
这个漏洞是用于修改 apk 后绕过签名校验的,和 bootloader 一点关系都没,通过这个提权是什么思路?
如果对安卓一窍不通就别折腾这个了。。
galaxy
2018-08-07 17:21:19 +08:00
@yukiww233 dex 的执行是安装程序,也就是 root 权限对吧?

所以,dex 可以去读取 bootloader,写入到 sd 卡上,也可以进一步修改 bootloader。

我只要能抓到固件就可以了。
gam2046
2018-08-07 17:25:32 +08:00
@galaxy 很明确的告诉你,Package Installer 并不是以 root 身份运行的。而且据我所知,Android 里终端用户能直接接触到的所有进程,没有任何一个是直接以 root 身份存在的。

除了部分设备的 adb 未降权,但这是设备制造商故意留下的。
galaxy
2018-08-07 18:22:00 +08:00
搜到这个,好吧,散了吧。

https://shunix.com/janus-one/
这个漏洞允许攻击者绕过 Android 系统 V1 的签名,用篡改过的 apk 覆盖原有的应用,攻击者的代码可以访问原应用所有的数据。
skylancer
2018-08-07 19:53:24 +08:00
@galaxy package installer 并不是以 root 身份运行的,而且别忘了还有 SELinux
tempdban
2018-08-08 07:47:06 +08:00
说实话我看正文都费尽
beijing999923
2018-08-08 16:56:35 +08:00
lz 知道怎么解包 bootloader 吗?我的手机是 Google pixe,现在进入了高通 9008 模式,只能刷高通底层,但是我没有 flash programmer 和分区文件,我用十六进制看到 bootloader 里面包含的有分区文件代码,我没有解包过 bootloader.img ,不知道 bootloader 只是代码还是说里面类似 system.img 一样有不同的文件,如果是后者的话,我想通过解包 bootloader 可以找到我需要的分区文件。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/477640

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX