Закоулки файловой системы
Собственно, коварный план рутования телефона через скрипт с либеральными правами, даже если бы удалось его запустить в итоге обломался бы, ибо для большинства мест куда можно писать устанавливается nosuid при монтировании, в том числе и для /storage/sdcard0 где планировалось разместить утилитку su:
shell@android:/ $ mount
mount
rootfs / rootfs ro,relatime 0 0
tmpfs /dev tmpfs rw,nosuid,relatime,mode=755 0 0
devpts /dev/pts devpts rw,relatime,mode=600 0 0
proc /proc proc rw,relatime 0 0
sysfs /sys sysfs rw,relatime 0 0
debugfs /sys/kernel/debug debugfs rw,relatime 0 0
none /acct cgroup rw,relatime,cpuacct 0 0
tmpfs /mnt/asec tmpfs rw,relatime,mode=755,gid=1000 0 0
tmpfs /mnt/obb tmpfs rw,relatime,mode=755,gid=1000 0 0
none /dev/cpuctl cgroup rw,relatime,cpu 0 0
/dev/block/platform/msm_sdcc.1/by-name/system /system ext4 ro,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/userdata /data ext4 rw,nosuid,nodev,relatime,noauto_da_alloc,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/cache /cache ext4 rw,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/persist /persist ext4 rw,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/modem /firmware vfat ro,relatime,uid=1000,gid=1000,fmask=0337,dmask=0227,codepage=cp437,iocharset=iso8859-1,shortname=lower,errors=remount-ro 0 0
/dev/block/platform/msm_sdcc.1/by-name/securefs /securefs ext4 rw,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/lifelog /misc ext4 rw,nosuid,nodev,relatime,noauto_da_alloc,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/hidden /hidden ext4 rw,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/cda /hidden/data ext4 rw,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/ramdump /ramdump/ramdata vfat rw,relatime,fmask=0000,dmask=0000,allow_utime=0022,codepage=cp437,iocharset=iso8859-1,shortname=mixed,errors=remount-ro 0 0
/dev/block/mmcblk0p10 /dpp/dppdata vfat rw,relatime,fmask=0000,dmask=0000,allow_utime=0022,codepage=cp437,iocharset=iso8859-1,shortname=mixed,errors=remount-ro 0 0
/dev/fuse /storage/sdcard0 fuse rw,nosuid,nodev,relatime,user_id=1023,group_id=1023,default_permissions,allow_other 0 0
Однако не всё так хреново, нашлось ещё одно забавное местечко, а именно /dpp/dppdata где ну очень либеральные права, можно грабить корованы класть скрипты/бинари и никаких заморочек с атрибутом исполняемости и владельцем:
shell@android:/ $ cd /dpp
cd /dpp
shell@android:/dpp $ ls -la
ls -la
opendir failed, Permission denied
255|shell@android:/dpp $ cd dppdata
cd dppdata
shell@android:/dpp/dppdata $ ls -la
ls -la
-rwxrwxrwx root root 4 1980-01-01 23:00 cali_high_threshold
-rwxrwxrwx root root 4 1980-01-01 23:00 cali_low_threshold
-rwxrwxrwx root root 0 1979-12-31 23:00 format
-rwxrwxrwx root root 4336 2013-01-17 20:53 inv_cal_data.bin
-rwxrwxrwx root root 8 1980-01-01 23:00 light_ratio
-rwxrwxrwx root root 5 1979-12-31 23:00 light_record
-rwxrwxrwx root root 81080 2013-01-17 23:10 su
Однако, su выдаёт ошибку:
shell@android:/dpp/dppdata $ ./su
./su
1|shell@android:/dpp/dppdata $
что вообщем-то ожидаемо. Насколько я понимаю suid-бит, так необходимый для счастья, на vfat навесить не получится...
Ах да, пространства с удобными свойствами аж 15 Мб есть:
shell@android:/dpp/dppdata $ df
df
Filesystem Size Used Free Blksize
/dev 877M 64K 877M 4096
/mnt/asec 877M 0K 877M 4096
/mnt/obb 877M 0K 877M 4096
/system 1009M 646M 362M 4096
/data 24G 2G 22G 4096
/cache 252M 7M 244M 4096
/persist 4M 4M 852K 4096
/firmware 63M 39M 24M 16384
/securefs 15M 4M 11M 4096
/misc 7M 4M 3M 4096
/hidden 29M 12M 17M 4096
/hidden/data 68M 34M 33M 4096
/ramdump/ramdata: Permission denied
/dpp/dppdata 15M 108K 15M 4096
/storage/sdcard0 24G 2G 22G 4096
Практически всё свободно, там как я понял лежат данные о калибрации датчиков. Вот такие вот закоулки. Думаю дальше...
shell@android:/ $ mount
mount
rootfs / rootfs ro,relatime 0 0
tmpfs /dev tmpfs rw,nosuid,relatime,mode=755 0 0
devpts /dev/pts devpts rw,relatime,mode=600 0 0
proc /proc proc rw,relatime 0 0
sysfs /sys sysfs rw,relatime 0 0
debugfs /sys/kernel/debug debugfs rw,relatime 0 0
none /acct cgroup rw,relatime,cpuacct 0 0
tmpfs /mnt/asec tmpfs rw,relatime,mode=755,gid=1000 0 0
tmpfs /mnt/obb tmpfs rw,relatime,mode=755,gid=1000 0 0
none /dev/cpuctl cgroup rw,relatime,cpu 0 0
/dev/block/platform/msm_sdcc.1/by-name/system /system ext4 ro,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/userdata /data ext4 rw,nosuid,nodev,relatime,noauto_da_alloc,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/cache /cache ext4 rw,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/persist /persist ext4 rw,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/modem /firmware vfat ro,relatime,uid=1000,gid=1000,fmask=0337,dmask=0227,codepage=cp437,iocharset=iso8859-1,shortname=lower,errors=remount-ro 0 0
/dev/block/platform/msm_sdcc.1/by-name/securefs /securefs ext4 rw,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/lifelog /misc ext4 rw,nosuid,nodev,relatime,noauto_da_alloc,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/hidden /hidden ext4 rw,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/cda /hidden/data ext4 rw,nosuid,nodev,relatime,data=ordered 0 0
/dev/block/platform/msm_sdcc.1/by-name/ramdump /ramdump/ramdata vfat rw,relatime,fmask=0000,dmask=0000,allow_utime=0022,codepage=cp437,iocharset=iso8859-1,shortname=mixed,errors=remount-ro 0 0
/dev/block/mmcblk0p10 /dpp/dppdata vfat rw,relatime,fmask=0000,dmask=0000,allow_utime=0022,codepage=cp437,iocharset=iso8859-1,shortname=mixed,errors=remount-ro 0 0
/dev/fuse /storage/sdcard0 fuse rw,nosuid,nodev,relatime,user_id=1023,group_id=1023,default_permissions,allow_other 0 0
Однако не всё так хреново, нашлось ещё одно забавное местечко, а именно /dpp/dppdata где ну очень либеральные права, можно грабить корованы класть скрипты/бинари и никаких заморочек с атрибутом исполняемости и владельцем:
shell@android:/ $ cd /dpp
cd /dpp
shell@android:/dpp $ ls -la
ls -la
opendir failed, Permission denied
255|shell@android:/dpp $ cd dppdata
cd dppdata
shell@android:/dpp/dppdata $ ls -la
ls -la
-rwxrwxrwx root root 4 1980-01-01 23:00 cali_high_threshold
-rwxrwxrwx root root 4 1980-01-01 23:00 cali_low_threshold
-rwxrwxrwx root root 0 1979-12-31 23:00 format
-rwxrwxrwx root root 4336 2013-01-17 20:53 inv_cal_data.bin
-rwxrwxrwx root root 8 1980-01-01 23:00 light_ratio
-rwxrwxrwx root root 5 1979-12-31 23:00 light_record
-rwxrwxrwx root root 81080 2013-01-17 23:10 su
Однако, su выдаёт ошибку:
shell@android:/dpp/dppdata $ ./su
./su
1|shell@android:/dpp/dppdata $
что вообщем-то ожидаемо. Насколько я понимаю suid-бит, так необходимый для счастья, на vfat навесить не получится...
Ах да, пространства с удобными свойствами аж 15 Мб есть:
shell@android:/dpp/dppdata $ df
df
Filesystem Size Used Free Blksize
/dev 877M 64K 877M 4096
/mnt/asec 877M 0K 877M 4096
/mnt/obb 877M 0K 877M 4096
/system 1009M 646M 362M 4096
/data 24G 2G 22G 4096
/cache 252M 7M 244M 4096
/persist 4M 4M 852K 4096
/firmware 63M 39M 24M 16384
/securefs 15M 4M 11M 4096
/misc 7M 4M 3M 4096
/hidden 29M 12M 17M 4096
/hidden/data 68M 34M 33M 4096
/ramdump/ramdata: Permission denied
/dpp/dppdata 15M 108K 15M 4096
/storage/sdcard0 24G 2G 22G 4096
Практически всё свободно, там как я понял лежат данные о калибрации датчиков. Вот такие вот закоулки. Думаю дальше...