android su 通过源码编译出来的;
文件位置: $android/system/extras/su/
Android.mk:
<span style="font-size:12px;">LOCAL_PATH:= $(call my-dir)
include $(CLEAR_VARS)
LOCAL_SRC_FILES:= su.c
LOCAL_MODULE:= su
LOCAL_FORCE_STATIC_EXECUTABLE := true
LOCAL_STATIC_LIBRARIES := libc
LOCAL_MODULE_PATH := $(TARGET_OUT_OPTIONAL_EXECUTABLES)
LOCAL_MODULE_TAGS := debug
include $(BUILD_EXECUTABLE)</span>
LOCAL_MODULE_TAGS 为debug 表示,只有debug版本才编译;
如果希望在其他,参看:http://blog.csdn.net/passerbysrs/article/details/46650113
再看源码:
<span style="font-size:12px;">/*
**
** Copyright 2008, The Android Open Source Project
**
** Licensed under the Apache License, Version 2.0 (the "License");
** you may not use this file except in compliance with the License.
** You may obtain a copy of the License at
**
** http://www.apache.org/licenses/LICENSE-2.0
**
** Unless required by applicable law or agreed to in writing, software
** distributed under the License is distributed on an "AS IS" BASIS,
** WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
** See the License for the specific language governing permissions and
** limitations under the License.
*/
#define LOG_TAG "su"
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <dirent.h>
#include <errno.h>
#include <unistd.h>
#include <time.h>
#include <pwd.h>
#include <private/android_filesystem_config.h>
/*
* SU can be given a specific command to exec. UID _must_ be
* specified for this (ie argc => 3).
*
* Usage:
* su 1000
* su 1000 ls -l
*/
int main(int argc, char **argv)
{
struct passwd *pw;
int uid, gid, myuid;
/* Until we have something better, only root and the shell can use su. */
myuid = getuid();
if (myuid != AID_ROOT && myuid != AID_SHELL) {
fprintf(stderr,"su: uid %d not allowed to su\n", myuid);
return 1;
}
if(argc < 2) {
uid = gid = 0;
} else {
pw = getpwnam(argv[1]);
if(pw == 0) {
uid = gid = atoi(argv[1]);
} else {
uid = pw->pw_uid;
gid = pw->pw_gid;
}
}
if(setgid(gid) || setuid(uid)) {
fprintf(stderr,"su: permission denied\n");
return 1;
}
/* User specified command for exec. */
if (argc == 3 ) {
if (execlp(argv[2], argv[2], NULL) < 0) {
fprintf(stderr, "su: exec failed for %s Error:%s\n", argv[2],
strerror(errno));
return -errno;
}
} else if (argc > 3) {
/* Copy the rest of the args from main. */
char *exec_args[argc - 1];
memset(exec_args, 0, sizeof(exec_args));
memcpy(exec_args, &argv[2], sizeof(exec_args));
if (execvp(argv[2], exec_args) < 0) {
fprintf(stderr, "su: exec failed for %s Error:%s\n", argv[2],
strerror(errno));
return -errno;
}
}
/* Default exec shell. */
execlp("/system/bin/sh", "sh", NULL);
fprintf(stderr, "su: exec failed\n");
return 1;
}
</span>
来看看uid的定义:
system/core/include/private/android_filesystem_config.h:
<span style="font-size:12px;">#define AID_ROOT 0 /* traditional unix root user */</span>
<span style="font-size:12px;">#define AID_SHELL 2000 /* adb and debug shell user */
</span>
一些预备知识:
getpwnam() 用于获取用户登录相关信息
getuid()用来取得执行目前进程的用户识别码
execlp
int execlp(const char * file,const char * arg,…,(char *)0);
execlp()会从PATH 环境变量所指的目录中查找符合参数file的文件名,找到后便执行该文件,然后将第二个以后的参数当做该文件的argv[0]、argv[1]……,最后一个参数必须用空指针(NULL)作结束。
setgid和setuid :
参看http://blog.chinaunix.net/uid-793704-id-2545508.html
http://blog.csdn.net/passerbysrs/article/details/46650731
目的:setuid 和setgid是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。
内核检查一个进程是否具有访问某权限时,是使用进程的有效用户 ID 来进行检查的;
UID和GID这样的标识符会影响文件的所有权和访问许可,以及向其它进程发送信号的能力。这些属性统称为凭证。
每个进程都有两对ID ——真实的和有效的。当一个用户登录的时候,login程序会把两对ID设置成密码数据库(/etc/passwd文件,或某些如Sun Microsystems的NIS之类的分布式机制)中指定的UID和GID。当一个进程fork的时候,子进程将从父进程那儿继承它的凭证。
有效UID和有效GID印象文件的创建和访问。在创建文件的时候,内核将文件的所有者属性设置成创建进程的有效UID和有效GID。在访问文件的时候,内核使用进程的有效UID和GID来判断它是否能够访问该文件。真实UID和真实GID标识进程的真实所有者,会影响到发送信号的权限。对于一个没有超级用户权限的进程来说,仅当它的真实或有效UID于另一个进程的真实UID匹配时它才能向那个进程发送信号。
setuid系统调用的语法是 setuid(uid) ,其中,uid是新的用户ID,该系统调用的结果取决于有效用户ID的当前值。
如果调用进程的有效用户ID是超级用户,内核会把进程表以及u区中的真实和有效用户ID都设置成uid。
如果调用进程的有效用户ID不是超级用户,仅当uid等于真实用户ID或保存用户ID时,内核才会把u区中的有效用户ID设置成uid。
否则,该系统调用将返回错误。
一般来说,一个进程会在fork系统调用期间从父进程那儿继承它的真实和有效用户ID,这些数值即使经过exec系统调用也会保持不变。
在 root 下,实际用户 ID 和有效用户 ID 均能被设为 setuid() 修改。
比如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件。
我们知道/etc/passwd文件是用户管理的配置文件,只有root权限的用户才能更改。
<span style="font-size:12px;">[root@localhost ~]# ls -l /etc/passwd
-rw-r--r-- 1 root root 2379 04-21 13:18 /etc/passwd</span>
作为普通用户如果修改自己的口令通过修改/etc/passwd肯定是不可完成的任务,但是不是可以通过一个命令来修改呢。答案是肯定的,作为普通用户可以通过passwd 来修改自己的口令。这归功于passwd命令的权限。我们来看一下;
<span style="font-size:12px;">[root@localhost ~]# ls -l /usr/bin/passwd
-r-s--x--x 1 root root 21944 02-12 16:15 /usr/bin/passwd</span>
因为/usr/bin/passwd 文件已经设置了setuid 权限位(也就是r-s–x–x中的s),所以普通用户能临时变成root,间接的修改/etc/passwd,以达到修改自己口令的权限。
setuid和setgid的实例应用;
我们想让一个普通用户beinan拥有root用户拥有超级rm删除权限,我们除了用su或sudo 临时切换到 root身份操作以外,还能怎么做呢???
<span style="font-size:12px;">[root@localhost ~]#cd /home 注:进入/home目录
[root@localhost home]# touch beinantest.txt 注:创建一个测试文件;</span>
<span style="font-size:12px;">[root@localhost home]# ls -l beinantest.txt 注:查看文件属性;
-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt 注:文件的属性;</span>
<span style="font-size:12px;">[root@localhost home]# su beinan 注:切换到普通用户 beinan
[beinan@localhost home]$ rm -rf beinantest.txt 注:以普通用户身份来删除beinantest.txt文件; </span>
rm: 无法删除 “beinantest.txt”: 权限不够
那我们怎么才能让beinan 这个普通用户也拥有root超级的rm 删除功力呢?
<span style="font-size:12px;">[root@localhost ~]# ls -l /bin/rm
-rwxr-xr-x 1 root root 93876 02-11 14:43 /bin/rm </span>
<span style="font-size:12px;">[root@localhost ~]# chmod 4755 /bin/rm 注:设置rm的权限为4755 , 就把setuid 位设置好了。
[root@localhost ~]# ls -l /bin/rm
-rwsr-xr-x 1 root root 43980 02-11 14:43 /bin/rm
[root@localhost ~]# cd /home/
[root@localhost home]# su beinan 注:切换到beinan用户身份;
[root@localhost home]$ ls -l beinantest.txt 注:查看文件属性;
-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt 注:文件的属性;</span>
<span style="font-size:12px;">[beinan@localhost home]$ rm -rf beinantest.txt 注:删除beinantest.txt文件;</span>
我们只是设置了rm的setuid位,让普通用户在rm指令上有超级root的删除超级权力。
通过这个例子,我们应该能明白setuid和setgid位的应用了,如同前面所说,让普通用户超越本身的能力,让普通用户能执行只有root才能执行的命令。在这一点,我们要和su和sudo 区分开来。请参见su和sudo的文档:《Linux 系统中的超级权限的控制》
开始分析:
a. 执行用户权限识别
getuid() 之后判定当前执行用户的uid是否是root 或者debug shell user
b. 判定参数
如果 argc < 2 : 表示只执行了su ; 那么就将uid和gid都设为0,即Root账户的uid与gid
否则的话: 比如su ryan , 则通过getpwnam() 获取ryan的相关信息,并将ryan的uid和gid取出来保存;
c. setgid 和setuid
假设当前进入系统后的用户是alex, 在./下有个cmd 二进制,它的创建有拥有者是ryan;
alex是没有权限执行的;
因此必须用如下方法
比如system/xbin/su ryan cmd others
argc[0]: su
argc[1]: ryan
argc[2]: cmd
argc[3]: others
先看看init.rc的权限:
setuid = chmod u+s xxx # 设置setuid权限
setgid = chmod g+s xxx # 设置setgid权限
首先获取ryan的 uid和gid
然后通过setuid和setgid将ryan的uid和gid设置到进程中;
这个时候就相当于用ryan得权限执行了cmd
从这里可以看出,如果系统中存在su;
即使是普通用户,只要将
if (myuid != AID_ROOT && myuid != AID_SHELL) {
fprintf(stderr,"su: uid %d not allowed to su\n", myuid);
return 1;
}
这一段代码注释。那么就可以拿着su 执行系统中的程序。