Posted on

@henices

  • 摘要 : 本文从多个维度分析真实泄漏的密码,总结一般的密码规律, 分析密码规律的形成原因。
  • 关键字: 拖库门,密码门,密码规律

1. “拖库门”事件

2011年12月21日,随着CSDN用户数据库的泄漏,一场前所未有的“泄密风暴”席卷整个中国互联网。随着媒体铺天盖地的报道,越来越多的细节开始披露,越来越多的网站被卷入其中,但是我们发现,太多的媒体报道过多关注了事件的“故事性”和“娱乐性”,却少有人关注密码泄漏后面的东西。”拖库门“事件始末:

  • 1月9日,奇虎360,收集用户私隐数据泄漏。
  • 1月5日,2012年新浪微博用户密码泄露漏洞。
  • 1月1日 00:12,珍爱网,号称3400万会员,两次泄漏1600万会员信息。
  • 12月31日,多数网友在互联网下载泄漏包,中毒人数增多,希望大家慎重下载。
  • 12月31日,网友报料,多家银行信用卡信息泄漏,本站未取得资料。
  • 12月30日,淘宝2200万用户邮箱泄漏。
  • 12月29日,太平洋数据再次泄漏,此次2514153用户数据。
  • 12月29日,广东400万出入境用户信息疑遭泄露.
  • 12月28日,太平洋数据泄漏,共2930311用户数据。
  • 12月28日,圆通被黑,泄漏数据未知,
  • 12月28日,新浪教育点评网被黑,泄漏数据未知,管理员已处理!
  • 12月28日,12月28日,当当网,凡客,卓越用户信息泄漏!本站可查询!
  • 12月27日,京东商城用户信息泄露 wooyun已经公开!
  • 12月27日下午,千脑网盘用户名密码数据泄漏。
  • 12月27日,YS168网盘用户名密码数据明码泄漏。
  • 12月27日,766再次出现十多万用户名密码数据明码。
  • 12月26日,dospy塞班智能手机网975691用户数据泄漏,用户名,密码及邮箱明码。本站已随机抽取测试登陆成功。
  • 12月26日,再现17173及178帐号密码,UUU9.COM密码帐户在其中。
  • 12月26日,ispeak.CN泄露帐户信息 已验证!。
  • 12月25日,myspace被暴库,迅雷已删除,电驴还有下载。
  • 12月24日,事态升级天涯疑泄露4000W用户资料。
  • 12月23日,经过确认 CSDN 泄露 多玩 泄露 梦幻西游帐户通过木马泄露 人人网部分泄露。
  • 12月22日,中国各大知名网站全面沦陷….涉及范围甚广,泄露信息涉及用户相关业务甚多…. 一场席卷全中国的密码安全问题爆发了…. 。
  • 12月21日晚21时左右,网络上出现CSDN,明码保存用户名密码的RAR下载 。

可以发现这次密码泄漏事件的规模和影响都是空前的, 其中很多都是大家平时耳熟能详的知名网站,网民个人信息隐私遭到了极大的挑战。目前互联网上的绝大多数网站都是使用用户名和密码进行认证的,知道了用户名和密码就可以冒用网民的身份使用网站提供的各项服务,个人隐私将毫无密码可言。

拖库,意思为从数据库里导出数据。专业的数据库人员喜欢用DUMP DATABASE 来描述这一过程。而拖库则应该是利用漏洞,通过网络从数据库中获取数据。

”拖库门“事件发生后,互联网上暴发了改密码的浪潮,从某种意义上来说这是一种好事,给人们提个醒,安全还是至关重要的。希望这个阵痛能给广大互联网工作者和广大网民带来一些感悟,如果能达到这个目的的话,我觉得”拖库门“这个历史事件将会变得很有教育意义。然而,大多数网民还是捧着看热闹的心态看着这个事态的发展,各大媒体也是热衷于哪个厂商承认密码泄漏,哪个厂商不承认密码泄漏的文章来吸引广大的网民的眼球。

本文尝试从分析密码规律入手,希望让不太安全的互联网能够变得更加安全一些。

2. 数据选择

”拖库门“事件泄漏的密码数量很大,但是很多数据无法用于统计。有相当大的一部分数据只是选取了破解出了明文密码的数据,还有一部分数据密码是hash,这些数据不能很好得反应真实的比率,需要剔除。本文选取了几份相对完整的,密码为明文的数据进行分析。鉴于中国的国情,去除了”五毛党“等水军的数据,去除了明显有问题的数据。分析的结果和选择的数据是紧密相关的,实际的情况和本文分析得结果一定存在差异,但是从整体上和趋势上来看应该是比较一致的。文中数据使用的统计工具为sed和awk。

3. 数据分析

本文将选取几个有参考价值的维度对密码进行分析,这几个维度分别是:

  1. 密码长度
  2. 字符类型
  3. 字符组成

3.1 密码长度

首先我们关注的是密码的长度,根据统计结果6到15位的密码的数量已经占到密码总数的98.7%, 而6到10位的密码的数量占到了密码总数的82.2%, 造成这一结果的原因是大多数网站密码的密码策略。大多数网站密码策略要求的最小密码长度为6位,因此除了极少数早期网站,小于5位的密码已经是很少了。而从图1.2的统计结果可以发现随着密码长度地增加,密码总数整体呈下降趋势。大多数人还是比较懒惰的,选择了最小的6位密码,密码长度大于8位后的密码总数呈急剧下降趋势。

3.2 字符类型

其次我们来关注一下组成密码的字符类型。在这里我们把字符类型分为下面几类进行统计:

  • 数字字符 (0-9)
  • 字母字符 (A-Za-z)
  • 数字字符+字母字符 (0-9A-Za-z)
  • 其它字符 (特殊符号、非ASCII字符)

使用纯数字字符作为密码的达到了57.7%,使用全字母字符作为密码有9.7%,而使用数字字符和小写字母字符作为密码的有31.7%。前面这个三种总数达到99%, 只有1%的密码使用了特殊符号字符和非ASCII字符作为密码。值得一提的是使用全小写字符作为密码有9.3%,已经占据了全字符密码的95.9%。人们喜欢使用数字作为密码也是有原因的,人们在日常生活中银行密码,电话密码等都是使用数字,全字母键盘也是最近几年智能机的兴起才得到普及,由于输入设备的限制,纯数字密码在以前几乎是唯一的选择,所以人们很习惯于使用数字密码。

3.3 字符组成

这里我们统计了密码中所使用字符类型的数目。统计的字符类型为:

  • 数字
  • 大写字母
  • 小写字母
  • 特殊符号

有67%的密码只使用了一种字符类型,有29%的密码使用了二种字符类型,使用三种字符类型以上的密码只有4%

3.4 密码规律

下图统计了使用了不同字母前缀数量的密码所占的比例。相对来说分布比较均匀,没有明显的变化趋势。使用3个字母前缀和6个字母前缀的密码最多。三个字母前缀已经可以表示一定的含义,比如汉语拼音的姓氏, qiu,cao,guo,姓名的首字母缩写,王小明可以写成wxm,简单好记。

3.5 邮箱分析

下图展示了密码所使用的邮箱,可以看出使用最多的国内邮箱为163, qq和126,使用最多的国外邮箱为yahoo,hotmail,gmail。

3.6 其它有趣的

根据分析,国人在设置密码时,喜欢使用几部分有意义的片段。这些片段都和大家的日常生活有紧密联系,比较常见的密码片段有姓名、地名、生日、手机号码等,也有使用键盘按键和根据发音设置的密码。下面统计了几个常见片段的使用情况。

密码 top10

几乎所有分析密码的文章都会有一个top 10 弱密码,这里也贴出统计后的结果。(根据出现次数的多少做降序排列123456 使用的人最多)。从统计结果中可以发现top 10的弱密码为清一色的简单数字密码。

  • 123456
  • 123456789
  • 111111
  • 12345678
  • 000000
  • 123123
  • 11111111
  • 5201314
  • 123321
  • 666666

生日密码

很多国人喜欢使用自己的生日作为密码,或者将生日作为密码的小片段,有6.6%的密码中包含生日(实际和生日相关联的密码比率应该比这个统计的数字大,这里只统计了比较完整的生日,比如19111111)。出生对每个人来说都具有比较重大的意义,基本上人人都能够记得自己的生日,因此这个比率不小,典型的密码为:

  • xhj19870909
  • 1984123

手机密码

手机作为当代人最重要的通讯工具,给生活带来了很大的便利。密码中包含手机号的密码比率占到了4%

爱情密码

感情是生活的重要组成部分,对于上网的年轻人来说,很多都处于恋爱的年龄,喜欢在输入密码的时候抒发感情,有3.8%的密码和感情有关系。这些密码都比较有趣,比如说:

  • zhangxin520
  • Lostlove

键盘位置密码

这类密码充分说明了人们的懒惰性,这类密码完全和键盘位置相关,方便输入和记忆。这类密码的比率占到了密码总数的5.3%,下面配上一幅图来说明这类密码。

上图中黑色粗线轨迹为常用的键盘位置密码,比如说1qaz2wsx

与用户名的关系

很早就有人研究用户名和密码的关联性,比如说大名鼎鼎的的密码破解软件John的“single crack” 模式,就是通过研究用户名,通过规则生成密码。这类密码最常见的就是使用和用户名一样的密码。密码中包含用户的密码占总数的5%

4. 总结与建议

从文中统计的数据可以发现,网民使用的密码普遍强度不够,喜欢使用单一字符的密码和数字密码,一旦数据泄漏很容易被还原成明文。

密码是个人信息安全保障的一道屏障,一定要加强保护。密码保护的第一要诀是:天下密码唯长不破,一定要使用长密码。其次需要增加密码的复杂度,使用多种字符组成密码。另外在日常生活中需要养成良好的密码习惯,作到以下几点:

  • 密码分级
  • 定期更换
  • 多重认证

密码分级的意思是,根据重要程度使用不同的密码,重要程度越高,使用越复杂的密码。这样可以在一定程度上保证密码泄漏后,重要程度高的信息不受影响。定期更换的意思就比较清楚了,在一定的周期内更换所有的密码。

但是即使做到了密码分级和定期更换也不是万无一失的,如果网站提供多重认证的功能,强烈建议使用。手机令牌就是一种比较常见的多重认证机制,在验证密码后还会给你的手机发送一个验证码,只有验证码也输入正确才能登录网站,这样就安全多了。密码和手机同时落到同一个黑客手中的几率还是很小的。

“拖库门”事件确实给我们敲响了安全的警钟,提醒我们要时刻注意自己的密码安全。相信以后还有可能出现更多的“拖库门”,而更多“拖库”则可能在暗地里秘密进行,如何保障自己的密码安全值得我们所有人思考。网站维护和开发人员则更应该把保护用户信息安全作为自己重要的责任,加强网站安全建设,最大程度地保护用户的信息资产安全。

参考资料

Posted on

☆ 0. 准备系统和编译环境

  • 系统: ubuntu 16.04 x86_x64

安装需要的软件:

1
2
3
sudo apt-get install git-core gnupg flex bison gperf build-essential zip curl \
zlib1g-dev gcc-multilib g++-multilib libc6-dev-i386 lib32ncurses5-dev x11proto-core-dev \
libx11-dev lib32z-dev libgl1-mesa-dev libxml2-utils xsltproc unzip

☆ 1. 下载源码

由于众所周知的原因,国内访问 Android 源码不大方便, 清华大学做了一件好事, 弄了个 mirror。

https://mirrors.tuna.tsinghua.edu.cn/help/AOSP/

下载 repo

Google 自己搞一个源码同步工具,需要下下载。

1
2
3
4
mkdir ~/bin
PATH=~/bin:$PATH
curl https://storage.googleapis.com/git-repo-downloads/repo > ~/bin/repo
chmod a+x ~/bin/repo

上面命令,下载 repo 并将 ~/bin 加入 PATH 环境变量

使用每月更新的初始化包

1
2
3
4
5
6
wget -c https://mirrors.tuna.tsinghua.edu.cn/aosp-monthly/aosp-latest.tar # 下载初始化包
tar xf aosp-latest.tar
cd AOSP   # 解压得到的 AOSP 工程目录
# 这时 ls 的话什么也看不到,因为只有一个隐藏的 .repo 目录
repo sync # 正常同步一遍即可得到完整目录
# 或 repo sync -l 仅checkout代码

使用这个初始包的好处挺多,应该可以减少一些网络 IO

编译特定版本的 Android

1
2
repo init -u https://aosp.tuna.tsinghua.edu.cn/platform/manifest -b android-4.0.1_r1
repo sync

其中版本号的对应关系可以从这个页面获得:

https://source.android.com/setup/start/build-numbers

下载对应设备的 Driver Binary

Pixel 2 就直接可以看这个 https://developers.google.com/android/drivers#walleye
目前最新的两个链接为:

将这两个文件在 aosp 根目录解压

1
2
tar zxvf google_devices-walleye-pq2a.190305.002-78f45eb0.tgz
tar zxvf qcom-walleye-pq2a.190305.002-a7c70412.tgz

将得到两个文件 extract-google_devices-walleye.shextract-qcom-walleye.sh
这两个文件为自解压文件,直接执行即可。

1
2
./extract-google_devices-walleye.sh
./extract-qcom-walleye.sh

☆ 2. 编译源码

切换到 aosp 根目录

1
2
3
4
make clobber
source build/envsetup.sh
lunch aosp_arm-eng
make -j4

执行 lunch 可以看到支持的各种 build, 自行选择即可。
编译成功后,将在 out/target/product/walleye/ 目录下生成镜像文件。

1
2
3
4
5
6
7
8
9
-rw-rw-r-- 1 henices henices   33554432 3月   8 01:55 boot.img
-rw-rw-r-- 1 henices henices    8388608 3月   7 17:56 dtbo.img
-rw-rw-r-- 1 henices henices    1570048 3月   8 01:55 ramdisk.img
-rw-rw-r-- 1 henices henices    8721730 3月   8 01:55 ramdisk-recovery.img
-rw-rw-r-- 1 henices henices 1175523656 3月   8 02:17 system.img
-rw-rw-r-- 1 henices henices   84722016 3月   8 02:15 system_other.img
-rw-rw-r-- 1 henices henices    4952764 3月   8 01:28 userdata.img
-rw-rw-r-- 1 henices henices       4096 3月   8 02:17 vbmeta.img
-rw-r--r-- 1 henices henices  369635536 3月   7 16:42 vendor.img

☆ 3. 刷机

刷机比较简单,直接用fastboot 就可以了,将 img 文件和 android-info.txt 拖回本地。

1
2
export ANDROID_PRODUCT_OUT=/tmp
fastboot -w flashall

☆ 4. 注意事项

清华这个 mirror 是定时同步的,所以实时性并不好,如果遇到某个特定版本下载失败,
可以等待一段时间后,再重新执行同步命令。编译时需要的内存比较大,小内存可能导致编译失败,
另外,如果在虚拟机里编译的话,记得多设置几个CPU核,这样编译速度会快一些。

参考资料

Posted on

Apk无源码调试的方法有很多,现在发现使用Android Studio 结合 JEB 感觉良好,
主要是参考 http://www.jianshu.com/p/c7899e5ea182 这篇记录下了具体步骤。

1. 下载 smalidea

https://bitbucket.org/JesusFreke/smali/downloads/smalidea-0.03.zip

在Android studio的插件仓库中没有找到这个插件,需要下载本地安装
File -> Settings -> Plugins -> Install plugin from disk 选择下载的插件,重启后生效。

2. apktool 输出源码文件

https://github.com/iBotPeaches/Apktool/releases/download/2.2.0/apktool_2.2.0.jar

1
java -jar apktool_2.2.0.jar d -f xx.apk -o xx

如果正常的将输出 smali 源码文件

3. Android Studio 导入源码

File -> New -> import project 选择刚才导出的xx文件夹

4. 增加Android Stuido的调试选项

Android Studio 界面上选择 Run-> Edit Configurations,点击+号,新建remote类型调试
器,默认的监听端口为5005,如果默认端口被占用则需要修改端口号。

5. 以调试模式启动应用

1
adb shell am start -D -n aa.bb/.activity

进程将挂起,aa.bb是package name,.activity 是要启动的activity 一般指定MainAcvitiy即可

6. 建立调试通道

1
adb shell ps | grep aa.bb

获得调试进程的pid

1
adb forward tcp:5005 jdwp:debug_process_pid

执行命令后,可以看到adb监听本地5005 端口。

1
2
> netstat -antp | grep 5005
 tcp        0      0 127.0.0.1:5005          0.0.0.0:*               LISTEN      4728/adb

7. 设置断点,调试

点击源码左侧栏可以设置断点,点击工具栏上的debug (一个小虫的按钮),开始调试。在
这个步骤上我遇上了一个错误。

java.io.IOException “handshake failed - connection prematurally closed”

这个错误是因为adb版本问题,取消Android内部的adb集成就可以了。具体方法是
Tools -> Android -> Enable adb integration 取消掉前面的勾就可以了。

如果看到Connected to the target VM, address: ‘localhost:5005’, transport: ‘socket’ 就大功告成了。

8. 其他一些说明事项

要调试apk程序是有一些要求的,下面几种情况可以调试apk程序。

  • /default.prop ro.debuggable=1

我的手机就属于这种情况

1
2
getprop  | grep ro.debug
[ro.debuggable]: [1]
  • APK 中AndroidManifest.xml 有这句 android:debuggable=true

Posted on | Edited on

Google 提供了一个工具 https://cs.chromium.org/chromium/src/tools/code_coverage/coverage.py

1
2
3
4
5
6
7
8
$ gn gen out/coverage \
    --args='use_clang_coverage=true is_component_build=false dcheck_always_on=true'
$ python tools/code_coverage/coverage.py \
    crypto_unittests url_unittests \
    -b out/coverage -o out/report \
    -c 'out/coverage/crypto_unittests' \
    -c 'out/coverage/url_unittests --gtest_filter=URLParser.PathURL' \
    -f url/ -f crypto/

一些参数的含义:

1
2
3
4
-b 测试 coverage 的 target 的路径
-o 输出报告的路径
-c 测试 coverage 的命令行
-f 过滤,只显示某些路径的 coverage

实际操作表明, coverage.py 不是太好用。 还是需要一步一步来,比较稳妥。

(0) 编译

在 chromium 项目下,可以直接使用 use_clang_coverage=true and is_component_build=false
如果不是 chromium 项目, 则需要自己 指定参数, 例如在 skia 项目中,可以这么写:

args.gn

1
2
3
4
cc = "/home/henices/clang7/bin/clang"
cxx = "/home/henices/clang7/bin/clang++"
extra_cflags = [ "-fprofile-instr-generate", "-fcoverage-mapping" ]
extra_ldflags = [ "-fprofile-instr-generate",  "-fcoverage-mapping" ]

如果是自己的项目,使用 clang 编译时加上这两个参数 -fprofile-instr-generate -fcoverage-mapping

(1) 生成 Raw Profiles 文件

export LLVM_PROFILE_FILE="out/report/target.%4m.profraw" 使用这个命令
限制 profraw 文件的个数。

%p 进程 ID
%h hostname
%Nm 生成几个 profraw 文件

写个循环,将所有的样本跑一遍。 timeout 10 指定程序超时时间。

1
for i  in path ; do timeout 10 target  $i ; done

将在 out/report 目录下, 生成 profraw 文件, 如果没有生成, 则说明上面的代码编译出了问题。

(2) 生成 Indexed Profile

/home/henices/clang7/bin/llvm-profdata merge -j=1 -sparse -o out/report/coverage.profdata out/report/*.profraw

-sparse 能大幅减小 profraw 文件大小

(3) 生成 Coverage report

1
2
3
/home/henices/clang7/bin/llvm-cov show -output-dir=out/report -format=html \
    -Xdemangler c++filt -Xdemangler -n -instr-profile=out/report/coverage.profdata \
    -object=out/coverage/target

打开 out/report/index.html 可以看到详细的 html 报告,非常不错。

参考链接

Posted on

下载 Android 源代码,编译

1
2
3
4
5
$ source build/envsetup.sh
$ lunch
$ make
$ mmm development/tools/idegen/
$ ./development/tools/idegen/idegen.sh

运行后将生成下面几个文件

  • android.ipr (IntelliJ / Android Studio)
  • android.iml (IntelliJ / Android Studio)
  • .classpath (Eclipse)

1) 在Android Studio 中导入 android.ipr

File -> Open 选择 android.ipr, 导入后可以Android Studio 中浏览AOSP 源码

2)设置远程调试配置文件

Run -> Edit Configuration 点击左上角的 + 类型选择 Remote

3)Attack 到需要调试的进程

这里有两种方法,一是使用SDK 提供的 Monitor 二是使用 Android Studio 自带的
Attach debugger to Android Process 按钮。

连接成功后将看到 Connected to the target VM

4)设置断点

设置断点很简单,用鼠标点击源码文件的左边栏,看见红色圆点说明就已经设置成功了。也
可以使用Ctrl + F8 的快捷键。

5)运行程序,触发断点

需要注意的是在调试过程中会出现源码对不上的情况,需要自己选择正确的源码。关于哪些
进程可以调试的问题,上篇已经有记录,这里就不在说了。

参考资料

  1. AOSP Sources in the IDE
    https://newcircle.com/s/post/1720/aosp_sources_in_the_ide
  2. Debugging AOSP Platform code with Android Studio - Part I - Java Debugger
    http://ronubo.blogspot.sg/2016/01/debugging-aosp-platform-code-with.html

Posted on

没有root的设备,要使用gdbserver 调试app 会遇到权限问题。(emulator 没有问题)

1
2
3
1|shell@mako:/data/local/tmp $ ./gdbserver :1234 --attach 16907
Cannot attach to lwp 16907: Operation not permitted (1)
Exiting

Android 系统提供了一个run-as 命令来暂时切换用户,但是这个命令有限制,必须是app
打开了debuggable才行,否则会报 Package xx is not debuggable 的错误。

http://android.googlesource.com/platform/system/core.git/+/master/run-as/run-as.c
的注释来看,主要的作用有两个:

  1. 可以查看开发这自己应用的数据
  2. 可以使用gdb_server 进行native 的debug

我们的需求是第2个,我们希望可以使用gdb_server 来调试 app

1
2
3
4
5
6
shell@mako:/ $ run-as
Usage: run-as <package-name> <command> [<args>]

shell@mako:/ $ 
shell@mako:/ $ run-as system_server /data/tmp/gdbserver --attach 596 :1234
run-as: Package 'system_server' is unknown

翻看源码,发现有下面 代码:

1
2
3
4
5
6
7
8
/* reject system packages */
if (userAppId < AID_APP) {
    panic("Package '%s' is not an application\n", pkgname);
}
/* reject any non-debuggable package */
if (!info.isDebuggable) {
    panic("Package '%s' is not debuggable\n", pkgname);
}

限制比较严格,调试系统app估计是没什么戏,root了应该就没有问题了。但是调试一般的app
还是没有问题的,用apktool 将 AndroidManifest.xml 的 debuggable 设置为true,重新
打包就可以进行native 的 debug 了。

下面以CVE-2014-7911的POC为例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.heen.CVE_2014_7911">

    <application
        android:allowBackup="true"
        android:debuggable="true"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:theme="@style/AppTheme" >
        <activity
            android:name=".MainActivity"
            android:label="@string/app_name" >
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />

                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>
    </application>

</manifest>

这个app 正好 android:debuggable=”true” 不用修改了,在模拟器上安装这个app。搭建
gdb调试环境, 分下面几个步骤走:

  1. 创建几个目录
1
2
3
mkdir ~/Android
mkidr ~/Android/system_lib
mkidr ~/Android/vendor_lib
  1. 将Android 设置上的lib下载到本地
1
2
3
4
5
6
7
8
9
10
11
12
13
14
cd ~/Android/system_lib/
adb pull /system/lib

cd ~/Android/vendor_lib/
adb pull /vendor/lib

cd ~/Android

# 在64位系统 /system/bin/app_process32 和 /system/bin/app_process64
adb pull /system/bin/app_process


cd ~/Android
adb pull /system/bin/linker
  1. 上传gdbserver
1
adb push $NDK_PATH/prebuilt/android-arm/gdbserver/gdbserver /data/local/tmp/gdbserver

环境基本搭建好了,测试一下 run-as 命令

1
2
3
4
5
6
7
8
> adb shell ps

...
u0_a86    16907 174   900568 38564 ffffffff 00000000 S com.heen.CVE_2014_7911
...

> adb shell run-as com.heen.CVE_2014_7911 id
uid=10086(u0_a86) gid=10086(u0_a86) groups=1003(graphics),1004(input),1007(log),1011(adb),1015(sdcard_rw),1028(sdcard_r),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats) context=u:r:untrusted_app:s

已经切换过来了,uid 变了,挂上gdbserver

1
2
3
4
> adb shell run-as com.heen.CVE_2014_7911 /data/local/tmp/gdbserver :123 --attach 16907

Can't open socket: Permission denied.
Exiting

报了另外一个错误,还是不行,google 一翻发现有debug-pipe 参数,尝试了一下

1
2
3
> adb shell run-as com.heen.CVE_2014_7911 /data/local/tmp/gdbserver +debug-pipe --attach 16907
Attached; pid = 16907
Listening on Unix socket debug-pipe

恩,现在没有报错了,执行一下端口转发。

1
adb forward tcp:5039 localfilesystem:/data/data/com.heen.CVE_2014_7911/debug-pipe
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
> $NDK_PATH/toolchains/arm-linux-androideabi-4.9/prebuilt/linux-x86_64/bin/arm-linux-androideabi-gdb ~/Android/app_process 
GNU gdb (GDB) 7.6
Copyright (C) 2013 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "--host=x86_64-linux-gnu --target=arm-linux-android".
For bug reporting instructions, please see:
<http://source.android.com/source/report-bugs.html>...
Reading symbols from /home/henices/Android/app_process...(no debugging symbols found)...done.
(gdb) target remote :5039
Remote debugging using :5039
warning: Could not load shared library symbols for 100 libraries, e.g. /system/bin/linker.
Use the "info sharedlibrary" command to see the complete listing.
Do you need "set solib-search-path" or "set sysroot"?
warning: Unable to find dynamic linker breakpoint function.
GDB will be unable to debug shared library initializers
and track explicitly loaded dynamic code.
0x4013a73c in ?? ()

(gdb) info proc
process 16907
cmdline = 'com.heen.CVE_2014_7911'
cwd = '/'
exe = '/system/bin/app_process'

(gdb) set solib-search-path ~/Android:~/Android/system_lib/:~/Android/vendor_lib/
(gdb) info sharedlibrary
0x400f3a60  0x400fe79c  Yes (*)     /home/henices/Android/linker
0x40126070  0x401566ec  Yes (*)     /home/henices/Android/system_lib/libc.so
0x40174828  0x401749c8  Yes (*)     /home/henices/Android/system_lib/libstdc++.so
0x401798f0  0x4018c478  Yes (*)     /home/henices/Android/system_lib/libm.so
0x40114f50  0x40116490  Yes (*)     /home/henices/Android/system_lib/liblog.so
0x4010c38c  0x40110988  Yes (*)     /home/henices/Android/system_lib/libcutils.so
0x401acb1c  0x401af20c  Yes (*)     /home/henices/Android/system_lib/libgccdemangle.so
0x401a81d0  0x401a94ac  Yes (*)     /home/henices/Android/system_lib/libcorkscrew.so
0x4019b780  0x401a1f24  Yes (*)     /home/henices/Android/system_lib/libutils.so
0x401cbc50  0x401d5ba4  Yes (*)     /home/henices/Android/system_lib/libbinder.so
0x402955f0  0x4029585c  Yes (*)     /home/henices/Android/system_lib/libhardware.so
0x402925d0  0x40292834  Yes (*)     /home/henices/Android/system_lib/libmemtrack.so
0x402bbbf0  0x402cb80c  Yes (*)     /home/henices/Android/system_lib/libz.so
0x402a4240  0x402b23fc  Yes (*)     /home/henices/Android/system_lib/libandroidfw.so
0x402d6774  0x402e53a0  Yes (*)     /home/henices/Android/system_lib/libexpat.so
0x403083a8  0x4031e684  Yes (*)     /home/henices/Android/system_lib/libstlport.so

OK, 已经可以调试了。