<環境>

Samsung Galaxy A55

Android 14

全部只用shell script寫，共53行！

全世界網路完全沒看到有人用shell script幹SU ROOT，

只有CIH我在幹，

我手機幾套銀行app也不知道手幾已經被我ROOT了。

很古早以前我自幹Android 6~8的shell script SU ROOT，

現在Android 14完全不同以前版本，害我又花不少時間重新自幹。

ROOT方法，CIH自幹、自己想的奇淫怪招。

修改init_boot.img，

ROOT執行過程，完全不寫入資料到手機內部儲存flash，也不寫入外部sd卡。

程式碼是最簡易、最短版本，所以沒做釋放資源、沒做錯誤判斷等，

adb shell進去執行/dev/cih-ssu.sh就可以取得ROOT權限。

init_boot.img我修改/新增以下檔案：

/init.org 系統原始init ELF執行檔

/init CIH寫的53行shell script

/busybox

/policy.cih-ssud CIH修改過後的selinux policy

這個最基本簡易shell script很適合教學用，仔細研究就可以簡易了解如何做SU ROOT。

可以用Samsung官方Odin3燒錄init_boot-cih.tar

或

用fastboot等工具燒init_boot-cih.img

未公開私藏完整版本有su指令提供所有android app呼叫，

並且程式名稱、所有建立資源名稱，全部亂碼取名，嚴格設成只有ROOT才能取讀的權限。

也把所有system properties還原成買到手機第一次開機那時候的properties(沒有bootloader unlock狀態)。

新增selinux policy規則，把自己整個隱藏起來，同時也可以專門對付ROOT權限的程式，即使系統ROOT權限也無法偵測cih-ssu存在。別懷疑！若你懂selinux policy，你就知道這傢伙多變態！

因為暴露su指令提供呼叫，

為了避免銀行app偵測，

所以只有按電源音量鍵組合才瞬間暴露su指令幾秒供呼叫，其餘時間su指令被隱藏無法呼叫，也偵測不到。

以下這個init 53行shell script：

#!/busybox sh

BUSYBOX=/busybox

ROOT=$($BUSYBOX dirname "$0")

ROOT2=$($BUSYBOX dirname $ROOT)/root

function cih-ssud-init()

{

MY_PID=$($BUSYBOX sh -c 'echo $PPID')

$BUSYBOX sed -i "1s/^.*$/#!\/proc\/$MY_PID\/fd\/3 sh/" /init

$BUSYBOX sed -i "s/^\(BUSYBOX=\).*$/\1\/proc\/$MY_PID\/fd\/3/" /init

STR_OFFSET=$($BUSYBOX strings -t d /init.org | $BUSYBOX grep " /system/bin/init$" | $BUSYBOX sed "s/^ *\([^ ]*\).*$/\1/g")

echo -e -n "/proc/$MY_PID/fd/4\x00" | $BUSYBOX dd of=/init.org obs=$STR_OFFSET seek=1 conv=notrunc

exec 3< /busybox

exec 4< /init

exec 5< /policy.cih-ssud

exec $BUSYBOX sleep 999999999

}

if [ "$1" == "selinux_setup" ] ; then

$BUSYBOX cp $ROOT/5 $ROOT2/policy.cih.ssud

$BUSYBOX mount -o bind $ROOT2/policy.cih.ssud /odm/etc/selinux/precompiled_sepolicy

$BUSYBOX cp -a /system/bin/init $ROOT2/

STR_OFFSET=$($BUSYBOX strings -t d /system/bin/init | $BUSYBOX grep " /system/bin/init$" | $BUSYBOX sed "s/^ *\([^ ]*\).*$/\1/g")

echo -e -n "$ROOT/4\x00" | $BUSYBOX dd of=$ROOT2/init obs=$STR_OFFSET seek=1 conv=notrunc

$BUSYBOX mount -o bind $ROOT2/init /system/bin/init

exec /system/bin/init "$@"

elif [ "$1" == "second_stage" ] ; then

echo 0 > /sys/fs/selinux/enforce

$BUSYBOX chcon u:object_r:cihssu_exec:s0 $BUSYBOX

$BUSYBOX umount /system/bin/init

$BUSYBOX sh "$0" cih-ssud &

$BUSYBOX sleep 0.5

echo 1 > /sys/fs/selinux/enforce

exec /system/bin/init "$@"

elif [ "$1" == "cih-ssud" ] ; then

MY_DIR=/dev

$BUSYBOX cat << EOF > "$MY_DIR"/cih-ssu.sh

#!/system/bin/sh

readlink /proc/\$$/fd/0 > $MY_DIR/cih-ssu

sleep 999999999

EOF

$BUSYBOX chmod 555 "$MY_DIR"/cih-ssu.sh

echo -n > "$MY_DIR"/cih-ssu

$BUSYBOX chmod 666 "$MY_DIR"/cih-ssu

while true ; do

$BUSYBOX inotifyd - "$MY_DIR"/cih-ssu::w | $BUSYBOX head -n 0

MY_TTY=$($BUSYBOX cat "$MY_DIR"/cih-ssu)

$BUSYBOX sh <> "$MY_TTY" >&0 2>&1

done

fi

$BUSYBOX mknod /dev/null c 1 3

cih-ssud-init &

$BUSYBOX sleep 0.5

$BUSYBOX mv /init.org /init

exec /init

#CIH #駭客 #Android #Magisk #ROOT #SU #ShellScript