Android shell提权

标签：执行 shell process app 提权 Android 权限

Android shell 提取原理+中转

https://www.jianshu.com/p/8d30b1d42031

 

android内执行shell的几种解决方案

熟悉adb shell的小伙伴可能知道，很多android设备的信息，是可以通过shell获取到的，例如常见的电池信息、内存占用、cpu占用等等，但遇到不能插线、没有网络的情况，这些方式就无法使用了，这里不对具体的shell命令做科普，主要谈及如何在android应用内执行shell，使其具备更好的适应性。

root权限下直接执行

在android应用工程内，可以通过java的runtime直接执行shell指令，尤其是低版本的android，在具备root权限的情况下，更是可以先进行su的切换，从而使得shell指令使用su角色执行，具体代码如下：

Process ps = Runtime.getRuntime().exec("su"); //1、执行su切换到root权限
DataOutputStream dos = new DataOutputStream(ps.getOutputStream());
dos.writeBytes(cmd + "\n"); // 2、向进程内写入shell指令，cmd为要执行的shell命令字符串
dos.flush();

有些不要su权限的shell，则可以不进行第一步的su切换，直接执行shell指令即可。

遗憾的是，这种执行shell的方式，在高版本的Android上，无法使用su权限，高版本的android，可以尝试将su换成/system/bin/sh：

Process ps = Runtime.getRuntime().exec("/system/bin/sh"); //1、执行su切换到root权限
DataOutputStream dos = new DataOutputStream(ps.getOutputStream());
dos.writeBytes(cmd + "\n"); // 2、向进程内写入shell指令，cmd为要执行的shell命令字符串
dos.flush();

更加通用的方式，是无需root执行shell。

非root提权执行

android的权限用户分为xxxxx，而一般获取信息类的shell指令，至少需要uid2000的权限；普通的第三方应用执行的shell，对应的权限是该应用进程的用户权限，也就是普通的用户权限，因此，想要执行高权限shell的话，就需要进行提权操作。

提权执行shell的方式有很多种，但总体而言，离不开“中转”这个思想。

首先，我们可以明确的是，非root环境，普通应用内执行shell，是不可能具备高级用户权限的，因此就只有另辟蹊径，既然应用内无法提权，那么我们就把执行shell这个操作，不交给应用来执行，通过设立一个中转站，应用只负责给这个中转站传递要执行的shell指令，中转站负责执行这个shell指令，并把执行结果回传给应用，这样就实现了应用执行shell指令的提权。

这里收集了一些“中转站”的思路，提供给大家借鉴：

• AdbLib实现设备内adb通讯
  这种提权执行的思路主要是，通过在设备内实现一个adb server，代替pc和adbd通信，再把执行后的结果通过socket通信回传给应用，实现了提权执行的功能。
  AdbLib是开源的一套ADB的通信服务，通过pc端先执行adb 端口转发，把adb通信端口转发到adblib的通信端口5555上，实现了设备内的adb server，这种方式也是阿里移动测试工具solopi的提权方式。

• app_process提权执行
  app_process是 Android 上的一个原生程序，是 APP 进程的主入口点，可以让虚拟机从 main() 方法开始执行一个 Java 程序的东西，最关键是，在adb shell内通过app_process执行的java程序，其进程权限也是uid2000，因此可以执行一些高权限的shell。
  app_process的执行方式示例如下：

  # 使用 dex
  CLASSPATH=/data/local/tmp/test.dex app_process /system/bin moe.haruue.Test
  app_process -Djava.class.path=/data/local/tmp/test.dex /system/bin moe.haruue.Test
  
  eg:

  先通过adb shell进入设备的shell，再输入命令：nohup app_process -Djava.class.path=/sdcard/autotest/shellserver.dex /system/bin --nice-name=shellServer shellService.Main > /dev/null 2>&1 &
  
  

  # 使用 apk CLASSPATH=/data/app/moe.haruue.test-1/base.apk app_process /system/bin moe.haruue.Test app_process -Djava.class.path=/data/app/moe.haruue.test-1/base.apk /system/bin moe.haruue.Test 

  因此，我们可以在apk应用内，实现一个java类用于执行shell，再实现一个socket服务和应用进行通信，交换执行指令和执行结果。
  这里有一个开源的项目app_process-shell-use，即是用这种方式完成的提权执行。

• dalvikvm提权执行
  dalvikvm可以创建一个虚拟机并执行参数中指定的Java类，在adb shell内通过dalvikvm启动一个java程序的话，其进程权限同样是uid2000，执行方式示例如下：

  dalvikvm -cp /data/app/foo.jar Foo 
  

  因此，和app_process一样的思路，我们同样可以通过java程序完成shell的执行并通过socket进行通信；值得一提的是，这种方式即是讯飞的iTest的提权执行方式。

作者：Null_ice
链接：https://www.jianshu.com/p/8d30b1d42031
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

 

Android投屏minicap+pyqt

1、Android ndk：https://developer.android.com/ndk/guides?hl=zh-cn

-  原生开发套件 (NDK) 是一套工具，使您能够在 Android 应用中使用 C 和 C++ 代码

2、pyqt：

标签：执行,shell,process,app,提权,Android,权限
From： https://www.cnblogs.com/banyanisdora/p/16587675.html