如果用 dex 文件修改 bootloader 或者将 bootloader 通过 USB 传给电脑?
galaxy · 2018-08-07 15:44:38 +08:00 · 8333 次点击这是一个创建于 2284 天前的主题,其中的信息可能已经有所发展或是发生改变。
在谷歌上记载了CVE-2017-13156, 是在我拿到的 Sugar Y9 手机固件之后发现的。所以,我想用它来 Root,也就是修改 bootloader 的 default.prop 的:ro.secure=0 与 ro.debuggable=1。
而在这个漏洞需要自己用 Java 写 dex 文件,大家谁有修改 bootloader 的 default.prop 的例子的,能否传份上 Github 么?
或者,用 dex 来安装Magisk-v16.7.zip也可以。这个手机的 Recovery 卡刷也要验证企业证书,所以我没法卡刷。
10 条回复 • 2018-08-08 16:56:35 +08:00
 |
1
nine99 2018-08-07 16:31:50 +08:00
有意思
|
 |
2
galaxy OP @nine99 我翻了几十分钟的谷歌安全公报,感觉这个 EoP bug 比较实用。2017 年 12 月 1 号前的手机应该都行。
|
 |
3
tempdban 2018-08-07 16:47:02 +08:00  1
default.prop 不是在 rootfs 里么,是跟内核打包在一起的,不是在 bootloader
第二个是说可以把 dex 放在 apk 前面 然后 art 跑去运行 dex 了? 第二个 art 已经是 fork 出来的 uid 不是 root 不能随意写文件吧。 |
 |
4
yukiww233 2018-08-07 16:49:14 +08:00 1
这个漏洞是用于修改 apk 后绕过签名校验的,和 bootloader 一点关系都没,通过这个提权是什么思路?
如果对安卓一窍不通就别折腾这个了。。 |
|
5
galaxy OP @yukiww233 dex 的执行是安装程序,也就是 root 权限对吧?
所以,dex 可以去读取 bootloader,写入到 sd 卡上,也可以进一步修改 bootloader。 我只要能抓到固件就可以了。 |
 |
6
gam2046 2018-08-07 17:25:32 +08:00 2
@galaxy 很明确的告诉你,Package Installer 并不是以 root 身份运行的。而且据我所知,Android 里终端用户能直接接触到的所有进程,没有任何一个是直接以 root 身份存在的。
除了部分设备的 adb 未降权,但这是设备制造商故意留下的。 |
|
7
galaxy OP 搜到这个,好吧,散了吧。
https://shunix.com/janus-one/ 这个漏洞允许攻击者绕过 Android 系统 V1 的签名,用篡改过的 apk 覆盖原有的应用,攻击者的代码可以访问原应用所有的数据。 |
|
9
tempdban 2018-08-08 07:47:06 +08:00 via Android
说实话我看正文都费尽
|
 |
10
beijing999923 2018-08-08 16:56:35 +08:00
lz 知道怎么解包 bootloader 吗?我的手机是 Google pixe,现在进入了高通 9008 模式,只能刷高通底层,但是我没有 flash programmer 和分区文件,我用十六进制看到 bootloader 里面包含的有分区文件代码,我没有解包过 bootloader.img ,不知道 bootloader 只是代码还是说里面类似 system.img 一样有不同的文件,如果是后者的话,我想通过解包 bootloader 可以找到我需要的分区文件。
|
Select Language