android su源码

2023年7月25日 345次阅读 来源: 路人戊戌乙亥

android su 通过源码编译出来的;

文件位置: $android/system/extras/su/

Android.mk: 


<span style="font-size:12px;">LOCAL_PATH:= $(call my-dir)
include $(CLEAR_VARS)


LOCAL_SRC_FILES:= su.c


LOCAL_MODULE:= su


LOCAL_FORCE_STATIC_EXECUTABLE := true


LOCAL_STATIC_LIBRARIES := libc


LOCAL_MODULE_PATH := $(TARGET_OUT_OPTIONAL_EXECUTABLES)
LOCAL_MODULE_TAGS := debug


include $(BUILD_EXECUTABLE)</span>

LOCAL_MODULE_TAGS  为debug  表示,只有debug版本才编译;

如果希望在其他,参看:http://blog.csdn.net/passerbysrs/article/details/46650113



再看源码:

<span style="font-size:12px;">/*
**
** Copyright 2008, The Android Open Source Project
**
** Licensed under the Apache License, Version 2.0 (the "License"); 
** you may not use this file except in compliance with the License. 
** You may obtain a copy of the License at 
**
**     http://www.apache.org/licenses/LICENSE-2.0 
**
** Unless required by applicable law or agreed to in writing, software 
** distributed under the License is distributed on an "AS IS" BASIS, 
** WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. 
** See the License for the specific language governing permissions and 
** limitations under the License.
*/

#define LOG_TAG "su"

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <dirent.h>
#include <errno.h>

#include <unistd.h>
#include <time.h>

#include <pwd.h>

#include <private/android_filesystem_config.h>

/*
 * SU can be given a specific command to exec. UID _must_ be
 * specified for this (ie argc => 3).
 *
 * Usage:
 * su 1000
 * su 1000 ls -l
 */
int main(int argc, char **argv)
{
    struct passwd *pw;
    int uid, gid, myuid;

    /* Until we have something better, only root and the shell can use su. */
    myuid = getuid();
    if (myuid != AID_ROOT && myuid != AID_SHELL) {
        fprintf(stderr,"su: uid %d not allowed to su\n", myuid);
        return 1;
    }

    if(argc < 2) {
        uid = gid = 0;
    } else {
        pw = getpwnam(argv[1]);
        if(pw == 0) {
            uid = gid = atoi(argv[1]);
        } else {
            uid = pw->pw_uid;
            gid = pw->pw_gid;
        }
    }

    if(setgid(gid) || setuid(uid)) {
        fprintf(stderr,"su: permission denied\n");
        return 1;
    }

    /* User specified command for exec. */
    if (argc == 3 ) {
        if (execlp(argv[2], argv[2], NULL) < 0) {
            fprintf(stderr, "su: exec failed for %s Error:%s\n", argv[2],
                    strerror(errno));
            return -errno;
        }
    } else if (argc > 3) {
        /* Copy the rest of the args from main. */
        char *exec_args[argc - 1];
        memset(exec_args, 0, sizeof(exec_args));
        memcpy(exec_args, &argv[2], sizeof(exec_args));
        if (execvp(argv[2], exec_args) < 0) {
            fprintf(stderr, "su: exec failed for %s Error:%s\n", argv[2],
                    strerror(errno));
            return -errno;
        }
    }

    /* Default exec shell. */
    execlp("/system/bin/sh", "sh", NULL);

    fprintf(stderr, "su: exec failed\n");
    return 1;
}
</span>

来看看uid的定义:


system/core/include/private/android_filesystem_config.h: 

<span style="font-size:12px;">#define AID_ROOT             0  /* traditional unix root user */</span>
<span style="font-size:12px;">#define AID_SHELL         2000  /* adb and debug shell user */
</span>



一些预备知识:


getpwnam() 用于获取用户登录相关信息


getuid()用来取得执行目前进程的用户识别码


execlp

int execlp(const char * file,const char * arg,…,(char *)0);
execlp()会从PATH 环境变量所指的目录中查找符合参数file的文件名,找到后便执行该文件,然后将第二个以后的参数当做该文件的argv[0]、argv[1]……,最后一个参数必须用空指针(NULL)作结束。



setgid和setuid : 


参看http://blog.chinaunix.net/uid-793704-id-2545508.html

        http://blog.csdn.net/passerbysrs/article/details/46650731

目的:setuid 和setgid是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。

内核检查一个进程是否具有访问某权限时,是使用进程的有效用户 ID 来进行检查的;

UID和GID这样的标识符会影响文件的所有权和访问许可,以及向其它进程发送信号的能力。这些属性统称为凭证。
每个进程都有两对ID ——真实的和有效的。当一个用户登录的时候,login程序会把两对ID设置成密码数据库(/etc/passwd文件,或某些如Sun Microsystems的NIS之类的分布式机制)中指定的UID和GID。当一个进程fork的时候,子进程将从父进程那儿继承它的凭证。
有效UID和有效GID印象文件的创建和访问。在创建文件的时候,内核将文件的所有者属性设置成创建进程的有效UID和有效GID。在访问文件的时候,内核使用进程的有效UID和GID来判断它是否能够访问该文件。真实UID和真实GID标识进程的真实所有者,会影响到发送信号的权限。对于一个没有超级用户权限的进程来说,仅当它的真实或有效UID于另一个进程的真实UID匹配时它才能向那个进程发送信号。

setuid系统调用的语法是 setuid(uid) ,其中,uid是新的用户ID,该系统调用的结果取决于有效用户ID的当前值。

如果调用进程的有效用户ID是超级用户,内核会把进程表以及u区中的真实和有效用户ID都设置成uid。

如果调用进程的有效用户ID不是超级用户,仅当uid等于真实用户ID或保存用户ID时,内核才会把u区中的有效用户ID设置成uid。

否则,该系统调用将返回错误。

一般来说,一个进程会在fork系统调用期间从父进程那儿继承它的真实和有效用户ID,这些数值即使经过exec系统调用也会保持不变。

在 root 下,实际用户 ID 和有效用户 ID 均能被设为 setuid() 修改。

比如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件。

我们知道/etc/passwd文件是用户管理的配置文件,只有root权限的用户才能更改。

<span style="font-size:12px;">[root@localhost ~]# ls -l /etc/passwd
-rw-r--r-- 1 root root 2379 04-21 13:18 /etc/passwd</span>


作为普通用户如果修改自己的口令通过修改/etc/passwd肯定是不可完成的任务,但是不是可以通过一个命令来修改呢。答案是肯定的,作为普通用户可以通过passwd 来修改自己的口令。这归功于passwd命令的权限。我们来看一下;

<span style="font-size:12px;">[root@localhost ~]# ls -l /usr/bin/passwd
-r-s--x--x 1 root root 21944 02-12 16:15 /usr/bin/passwd</span>

因为/usr/bin/passwd 文件已经设置了setuid 权限位(也就是r-s–x–x中的s),所以普通用户能临时变成root,间接的修改/etc/passwd,以达到修改自己口令的权限。

setuid和setgid的实例应用;
我们想让一个普通用户beinan拥有root用户拥有超级rm删除权限,我们除了用su或sudo 临时切换到 root身份操作以外,还能怎么做呢???

<span style="font-size:12px;">[root@localhost ~]#cd /home  注:进入/home目录 
[root@localhost home]# touch beinantest.txt  注:创建一个测试文件;</span>


<span style="font-size:12px;">[root@localhost home]# ls -l beinantest.txt  注:查看文件属性;
-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt  注:文件的属性;</span>
<span style="font-size:12px;">[root@localhost home]# su beinan  注:切换到普通用户 beinan 
[beinan@localhost home]$ rm -rf beinantest.txt  注:以普通用户身份来删除beinantest.txt文件; </span>


rm: 无法删除 “beinantest.txt”: 权限不够
那我们怎么才能让beinan 这个普通用户也拥有root超级的rm 删除功力呢?

<span style="font-size:12px;">[root@localhost ~]# ls -l /bin/rm 
-rwxr-xr-x 1 root root 93876 02-11 14:43 /bin/rm </span>
<span style="font-size:12px;">[root@localhost ~]# chmod 4755 /bin/rm  注:设置rm的权限为4755 , 就把setuid 位设置好了。
[root@localhost ~]# ls -l /bin/rm
-rwsr-xr-x 1 root root 43980 02-11 14:43 /bin/rm

[root@localhost ~]# cd /home/
[root@localhost home]# su beinan  注:切换到beinan用户身份;
[root@localhost home]$ ls -l beinantest.txt  注:查看文件属性;
-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt  注:文件的属性;</span>
<span style="font-size:12px;">[beinan@localhost home]$ rm -rf beinantest.txt 注:删除beinantest.txt文件;</span>


我们只是设置了rm的setuid位,让普通用户在rm指令上有超级root的删除超级权力。
通过这个例子,我们应该能明白setuid和setgid位的应用了,如同前面所说,让普通用户超越本身的能力,让普通用户能执行只有root才能执行的命令。在这一点,我们要和su和sudo 区分开来。请参见su和sudo的文档:《Linux 系统中的超级权限的控制》





开始分析:


a.  执行用户权限识别

getuid() 之后判定当前执行用户的uid是否是root 或者debug shell user


b. 判定参数


如果 argc < 2 : 表示只执行了su ; 那么就将uid和gid都设为0,即Root账户的uid与gid


否则的话: 比如su ryan , 则通过getpwnam() 获取ryan的相关信息,并将ryan的uid和gid取出来保存;


c. setgid 和setuid


假设当前进入系统后的用户是alex, 在./下有个cmd 二进制,它的创建有拥有者是ryan;

alex是没有权限执行的;

因此必须用如下方法

比如system/xbin/su  ryan cmd others

argc[0]: su

argc[1]: ryan

argc[2]: cmd

argc[3]: others

先看看init.rc的权限:

setuid  = chmod u+s xxx # 设置setuid权限

setgid  = chmod g+s xxx # 设置setgid权限

首先获取ryan的 uid和gid


然后通过setuid和setgid将ryan的uid和gid设置到进程中;

这个时候就相当于用ryan得权限执行了cmd



从这里可以看出,如果系统中存在su;

即使是普通用户,只要将

    if (myuid != AID_ROOT && myuid != AID_SHELL) {
        fprintf(stderr,"su: uid %d not allowed to su\n", myuid);
        return 1;
    }

这一段代码注释。那么就可以拿着su 执行系统中的程序。






    原文作者:路人戊戌乙亥
    原文地址: https://blog.csdn.net/passerbysrs/article/details/46650253
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞