【ROM焼き】SHARP AQUOS PHONE root総合
■ このスレッドは過去ログ倉庫に格納されています
SHARP AQUOS PHONE root総合スレです
【注意】
root化してしまうとメーカーの保証を一切受けられません。
内部の書き換えを行うと最悪の場合、文鎮になりますので自己責任でお願いします。 302shスレで話題のtewilove氏が
xdaの306shのスレにcuiのrootツールも置いてるな
cve2015-3636だそうなので
fi01氏のツールビルド出来ない人は試してみれば?
責任は取れんが
wpのアンロックもkoなしにやってんな
githubのソース見る限りでは機種依存してるようにも見えるがコードは追ってない >>295
SHV31で、笑えるぐらいあっさりとbootまで抜けました...(^_^;) >>296
お、
もしかしてアンロックまで試した?
機種依存無ければすごいのだが
そのスレ自体
OTAのフェイクとか
sim unlockまで及んでてかなり興味深い
まだ10月くらいまでしか読んでないけど
まぁtewilove氏と愉快な人柱達という様相だがw そこのcodeってとこに書いてある通りなんだが…
解凍してadbで/data/local/tmp/にpushして
それぞれ実行するだけ
ただbootやrecoveryは306sh固有のものだから
ddはしないように
まぁリカバリの方は動く可能性もゼロでは無いけど
基本やめといた方がいい
rootはたぶんどの機種でも問題ない
cve2015-3636は失敗する事あるから
成功するまで2,3回必要な場合も
wp_offはいきなり解除せず
まず--dumpでstatus読めるかを確認してから
fbunlockはミスったら一発文鎮なので
相応の覚悟で
個人的には自身でバイナリエディタ等で触れない人は見送ることを推奨する >>297
bootやabootなどは拔ける様になったのですが、twrpを作ってrecoveryやboot領域に突っ込んで再起動すると無かったことに...。 >>300
wp_off --dumpで
0並び表示される?
5並びだと非解除状態だと思われる >>299
なるほどそうですか・・・
言われると自信が無いので様子見してみます
304sh全然root来ないので焦ってました
解説ありがとうございます >>301
最初が5並びで途中から0並びになります。
もしかして中途半端に解除されてるのかな...?
mmc解除が出来さえすれば道が開けそう(^^;) >>303
再起動してからのdumpで0並びなら解除されてるし
そこで5に戻ってたら失敗だね
このスレの頭の方かfi01氏のgistにhw_wpの挙動について書いてあるので
それとwp_offの各コマンド使って試してくしか >>302
302shのスレには304shのrootへのリンクもあったはずだけど
baiduで中文なのがネックだね
304shのスレに投下して人柱をつのる手もw
中文わかる人いるかもだし
なにぶんこのスレは過疎だから… 取り敢えずsystem.imgがマウント出来たのでこんな感じに...(笑)
http://i.imgur.com/OKQtauC.png 貼るの間違えました(*ノω・*)テヘヘ
後はSIM解除アプリが動けば...
http://i.imgur.com/vIdlu16.png おめ
それはsystemをloopでマウントして
zygoteのリスタート?
root(アプリ。ややこしいなw)
はlsm解除も内包してるってことかな?
それとも毎回wp_off? >>308
アザッス
そうそうSH-06Eと同じ様にマウント出来たよ。
mmc以外は解除されてるのでrootリマウントのみでokす。
ただroot権限は毎回取り直しですが(汗) cm10.1の時点で
mkbootimgはQCDTに対応してるっぽいな
cm10.1をrepoで持ってこれるほど
HDDに空きが無い問題発生w
どうせならcm11あたりを持ってきたい気もするが… githubにバイナリ上げてる人居たわ
mkbootimg dtb
で検索すると出る
これ使えばDTブロック取り出しとリパック出来るわ
バイナリエディタで触らんでも済む SHV31って最新ビルドでCVE-2015-3636修正されてるよね? baiduだろうがxdaだろうが全部 tewiloveって人のツールだってわかってない馬鹿がおおすぎw ____
/ \
/ ⌒ ⌒ \ 何言ってんだこいつ
/ (●) (●) \
| 、" ゙)(__人__)" ) ___________
\ 。` ⌒゚:j´ ,/ j゙~~| | | |
__/ \ |__| | | |
| | / , \n|| | | |
| | / / r. ( こ) | | |
| | | ⌒ ーnnn |\ (⊆ソ .|_|___________|
 ̄ \__、("二) ̄ ̄ ̄ ̄ ̄l二二l二二 _|_|__|_ >>312
公開されてるカーネルソースは01.00.03〜となってるので
アプデでもカーネル自体は更新されてない可能性も
pocや上のrootレベルでは破壊するのは不可能なので
レッツトライ 手元にcve2015-3636が通ってアンロックしてないsharp端末が無いから
全く試せんw
オクでも漁るか >>317
rootだけなら304shは取れてなかったか? ていうか
cve2015-3636が塞がれてない機種は
手順そのものは確立してんのよね
カーネルビルド環境とか、少しだけ敷居が高いだけで
その敷居を下げてくれそうなのが
tewilove氏のツールなんだけど
wp_offしかソース公開がなく
306sh以外の機種での動作が未知数なだけで まぁたぶん
root(アプリ)は汎用なのはshv31で通ることから濃厚で
wp_offはそのままunprotect-allだとダメで
個別のブロックでsetしてからの再起動
fbunlockは汎用的に作るの難しくは無いので
きっと汎用で作ってあると思う CVE-2015-1805の実証コード来たみたいだな
期待したい shf31本スレにリカバリーについての話あったんだな
てか上で試してたのと手順違うんだな
音量両押し不要だったんか?w
861 :白ロムさん:2015/11/07(土) 09:52:18.69 ID:2vQ0VefI0
書き込んでから試したらあっさりファクトリーリセットできたので報告
SHF31
電源オフから電源ボタンなが押し
↓
押し続けると
バイブが短め1回、長めと変化するので
長め(2回目バイブ)の時に
電源ボタンを離し
すぐに電源ボタンを再度押す(連打オッケー)
↓
ファクトリーリセットモードになる
SHF32
電源オフから
音量下と電源ボタン長押し iovyroot(cve-2015-1805)は先にコードにアドレス入れないとなのか
どうやってアドレス抜けばいいんかね?
xperiaはtftからイメージ抜いてやってんのかな?
まぁ素のビルドすらまだ出来てないんだけど… >>315
01.00.07のSHV31で試しましたがダメでした。
脆弱性検査アプリでも修正済みって出る。 >>324
乙です
sharpはカーネル弄ったのにソース出して無いのか iovyrootのビルド通らんのだが
r9cとr11cで試したんだけど
ndk-build じゃダメなんかね?
誰か詳しい人おらん? iovyビルド通ったわr11c
単純にNDK_ROOT指定して
project_root(iovyrootの直下)でndk-buildで良かったのか NDKを手探り入れてみたけどエラーで全く動かない...
イライラするぅ(´・ω・`+) 人柱用に305shをポチってみた
最終アプデが2015/7/30ってのが微妙だが
カーネルソースは更新されてないので大丈夫かな?
sbのアプデ案内ページの更新にかかる時間てのが
20分なのは/systemだけで40分なのは全体とかかね? >>328
export ARCH=arm
export CROSS_COMPILE=arm-linux-androideabi-
export PATH=NDKのディレクトリ:$PATH
export NDK_ROOT=NDKのディレクトリ
で
iovyrootのディレクトリで
ndk-build
で通らん? 人柱用の305shが届いたので弄った
verはs0106だったので仮root取れるのは間違いない機体
root(アプリ)でさっくり#だったが
何故かlsmが解除されない
とりあえずbackup取るために
backdoor_mmap_toolsの方で仮rootとlsm解除してdd抜き
んで再起動してからroot使ったらlsm解除も問題なし
何故かはよくわからん wpoffに関しては
wpoff --unprotect system
とかはNG出て効かない
protect-poweron等はok出るが--dumpでみて変化なし
5からaになれぱ再起動でclearされるはずなのだが
いろいろ弄ってるうちにprotectで5からfにしてしまい
systemに永遠に書けない状態に
一応mmc_protect.ko作ってrecoveryは書けるようになった
insmod許可アドレスは0xc01c5588
さて文鎮覚悟でアプデして、systemが復活する事に望みをかけるか… >>330
アドバイスありがとう!
今度仕事休みの時に試してみます(^^) fbunlockの方はちゃんと作動した
mmc_protect.koでabootのwp切ってから
./fbunlock
だけでabootのバイナリが書き換わってたのを確認 wpoffの方
理論的には
./wpoff --protect-power-on system
./wppff --unprotect system
reboot
でいけるはずなんだけどうまく行かないんだよな… 俺の手持ちのsbのsimはiphone6のだった…
ネク5に挿してたから気にしてなかったが
これだとアプデ出来ないじゃん…
systemのwpを間違って恒久にしちゃってるから
今更simフリーにも出来ないし詰んだっぽい… もうsystemはloop mountでお茶濁すしか無いんじゃね ああ、その手があったか
boot弄っていきなり初手でsystemをイメージから呼ぶか 上でmiyabiのアドレス入れ替えるの
少し邪道だけど
unlock_lsm_miyabiのソースの中で機種ごとのデータ部分を相対ジャンプしてる部分だけ
miyabi_のアドレスでなくselinux_のアドレスに差し替えてとりあえずは動くな
デフォだとselinuxのアドレスを端から全部外すから
挙動が不安定になってるんじゃないかな とりあえず
上記の手順で作ったunlock_lsm_miyabi改(usm305sh_s0106)と
hw_wp解除用のmmc_protect.koをウプしとく
http://www1.axfc.net/u/3651040.zip
DL KEY:305sh
305shのs0106専用で
手抜きなので何か問題ある可能性もあるので気をつけて
あくまで自己責任で ソースつけ忘れた
元ソースはfi01氏のbackdoor_mmap_toolsです
ビルドするにはbackdoor_mmap_toolsそのものが必要
http://www1.axfc.net/u/3651044.zip
DLkey:305sh ちなみにselinuxそのものは
#setenforce 0
でEnforcingからPermissiveになるので事実上無効化できる fi01氏がtwitterでsharp機に言及してるけど
難しそうだな
仮root取る前の段階でselinuxが立ちふさがってるのかね?
それとも64bit機の話なんかな sharp機でもbootimageのcmdlineで
android.selinux=permissive
の一文で起動時からselinuxをpermissiveに出来るな
bootもhw_wpかけちゃってるからrecoveryだけで遊んでる
system使わずにrootfsだけでdaemonsuとか入れれねーかな system書けなくなった俺以外の誰にも得の無いだろう情報だろうけど一応
/sbinにloop.shという
systemをloopマウントして
daemonsuを常駐させるshell script書いて
init.rcから
service loopmount /sbin/loop.sh
oneshot
で起動時loopマウントからのsu起動に成功
/sbinにbusyboxとshのリンク置いて
適宜chmod等を
マウントにちょい時間かかるので
install-recovery.shだとdaemonsuは置けなかったので直接呼んだ こっそりとSHF31もオクポチしといた
正直shf31に関してはcwmの導入、bootの改変までやり切らないと
使える状態にはならない感じ
/system/xbinにsuおけば済むって話じゃないのでね
そこまでやっても自前で入れたsystemアプリはタチクル効かないとか
結構問題があって、実際BB用のGooglePlay入れたSHF32と使用感に大差ない
まぁいきつくとこまで行けばxposedとかも入るので、遊べるっちゃ遊べるんだが shf31(01.00.04)
母艦でins.bat実行
adb shellでシェル起動して
./get_essential_address
./install_backdoor
./run_root_shell
#
./usm_shf31_010004
./unlock_mmc_protect
exploitを使用してるget〜やinstall〜はコケることもあるのでその場合やり直しを
以上はtewilove氏のroot(アプリ)一発でも同じ状況に
(miyabi外しが簡易版の為、むしろrootの方がいい状態)
insmod mmc_protect.ko
cat /sys/kernel/mmc_protect/status
echo -n "mmcblk0p17" > /sys/kernel/mmc_protect/set
echo -n "mmcblk0p17" > /sys/kernel/mmc_protect/clear
reboot
これで/systemのHW_wpは解除
http://www1.axfc.net/u/3651823.zip
DLkey:shf31
とりま、今日のところはここまで 40代妄想ニュース事件情報報道内容そていFX博奕「ニューヨークソルトレイク」センター50代野村光金しゅっちょおしょくじけん
https://www.youtube.com/watch?v=jET485MS1Vw宇ドナルド)マック張内戦中華
40代妄想ニュース事件情報報道内容ディズニーちゃくふく春分FXさんどりしゅっちょう
https://www.youtube.com/watch?v=oMbYLIPZQ6c講演会自主責任
40代妄想ニュース事件情報報道内容自供グルテンそてい十代FXセーブデータ遠隔消去KAR-Dローン(シュッ)しょうきょ家賃滞納決算トラファルガー銀行光金動画蓄物牧場
電力自由化上野坂個人ニュー酢サービス不足ホテルバイトワインスーパーパワーギャンブル
マンハッタンシチリア無料モニターパリ横浜人事部新橋飲酒運転チャイナタウン義援金とうせん京都マネー
適正価格詐欺のうぜい国立ラスベガススーダンエクアドルチャイナタウンブックオフ経営費福祉沖縄中華旅行絶句ロスディレクタークビ30代不正労働ビザ
ぼったくり春文インフラ時事ネット遊園地たかが執行人(しん原宿あっせん安保上納金決算ドーピングニュース)井野頭3月経歴査定
虎の門20代無許可監督者保証池上ポセイドンニュース外国人秋葉原情報(ブフランス札幌西村ソフトバンクスーパーアドバイザー退会処分披露宴ビジネス) wpoffのソース軽くさらって見たけど
unprotectの時sharp機の場合は機種判別して
mmcのコントローラーに
特定のコマンドを送ってるぽいね
sharp機で306sh以外だと自動的に失敗扱いぽい
ちょっと京セラ機で試してみるか wpoff
isw12kで試したけど
--dumpすらうんともすんともだな
root(アプリ)も効かなかったけど
root自体はbackdoor_mmap_toolsでとって試した これはRoot化組に朗報かな
70 SIM無しさん sage 2016/04/24(日) 03:53:43.25 ID:zCEypg33
【緊急】Androidに重篤な脆弱性が発覚 最新OS以外の全機種あぼーん [無断転載禁止]©2ch.net [501636691]
http://hitomi.2ch.net/test/read.cgi/poverty/1461433542/ とりあえずiovyに既知のshf31から抽出したアドレスぶっ込んでみたけど
cannot link excutable "sendmmsg"〜
とか出てダメだな
と思ったら
sendmmsgのとこ
syscall(374,
に書き換えろってのあるな
そっちで試すか shf31でとりあえず取れたわ
アドレスさえあればsharp機でも仮rootはいけるな
/proc/config.gzさえありゃビルドしてアドレスも抜けただろうに、隠されたのは痛いな
shf31の.config参考にshf32のビルド通らんものかな
まぁでもその後mmc_protectやらhw_wp潰さないことには弄れんけどな… まぁBLアンロックを残してくれてるのはいいんだけどね…
富士通機とか購入候補にもならない SH-07E(01.00.05)でroot化したいのですが、やり方をご教示願えませんか?
人柱OKです。 >>357
どのレベルまでやるかにもよる
仮root取るだけなら>>298のツールの
rootだけ実行するのが一番簡単
rootアプリ類を常用するなら
ぐぐって出てくる01.00.04用のツールに
>>347の中身を上書きして使えると思う
cwmやらxposedまで行く気なら
カーネルビルド環境が必要
もしそこまでやるなら
ubuntu環境(vmでいい)出来たら言ってくれ sh-01g持ちですが、root無理ですかねー?
mvnoでテザリングしたひ… 02.00.02なら難しいだろね
01.00.07は問題なくいけそ
01.00.08は時期的に微妙か shf32
configでっち上げて
module_layoutまでは一致するカーネルビルド出来たが
そのアドレスじゃiovyで取れんな…
たまにrebootかかるので脆弱性自体は存在するはずだが…
アドレス一致しないのは
configが悪いのか、ビルドエラー潰すためにソース弄ったのが悪いのか… 今、iovyrootなんてあるのか、CVE-2015-1805のexproitなんだね
CVE-2015-3636のPingpongは知ってたけど、これが今使える穴なのかな
カーネルも64bitになってたり解析も複雑そう
最近、携帯も維持費が高くて買ってないから置いてかれてるな
新しいので、前に10kで買った白ロムshv31 01.00.03 が
カーネルビルドしてmmc_protect.koも作ってみたけど
insmod用アドレスがワカランチンなので放置だわ
shf32の人には技術的に期待してる
sh07eの人は、今所持してて05まで上げて、なおかつroot取ろうと
してる人なんて、居るんだろうか?
とりあえず358の通りにやってみて、無理そうならboot.imgを
うpしてみたら誰か頑張ってくれるかも >>362
最近の機種はinsmod許可アドレスが結構後ろなんで
全部ディスアセして
memcmpに飛んでるアドレスのうちref_moduleの後で一番近いとこだと思われる BLアンロック出来るのって、国産でシャープ以外にある? >>364
厳密にはアンロックじゃないけど
京セラ機はlokiの脆弱性が使えるのがある
LGでよく使われてるやつ >>363
サンクス
思ってた範囲より下の方でしたが、見っかったよ(0xc01cd358)
statusの結果もwpoffのdumpと同じでした
このままwpを解除してしまうか
業者に出してsimロック外して普段使いに昇格するか迷うなぁ >>365
lokiってことは、23年前の機種ってことになりますねぇ 阪神淡路の震災をきっかけにケータイが普及したけどそのちょっと前だね 01.00.07ですが、パッチか何かありましたっけ? >>370
01.00.07ならアプデの時期的にpingpongの穴潰されてないはず
>>298のツール落として
./rootでとりあえずはいろいろ弄れるようになる
ただroot常用するには今んところ
カーネルビルド環境つくって
mmc_protect解除しての一連の流れが必要 >>371
ありがとうございます。
やってみたいと思いますが、root取得後、偽非root状態でテザリングの活用は可能でしょうか? sh-06eでも、直にsystemは弄れなくてもsystem.imgを
マウントしてテザ出来てたような… テザ用にapn弄るだけならsh-06eの様にloopマウントの手法でいけると思う
rootアプリを動かす場合には
4.4以降だと
suを/system/xbinに置くだけではダメなので
そこいらを工夫する必要あり kitkatというかselinux面倒臭そうだなぁ
SDカード書き込み問題以外にもあったんだ
daemonsuがよく解らんのだが
-------
5 :SIM無しさん:2013/11/11(月) 13:02:55.16 ID:t7iTzQZg
Kingo Android Root使うと、 
/system/xbin/daemonsu 
が作られる。これをadb shellから実行するとrootになれる。 
"su"や"busybox"というファイルをパスが通ったディレクトリに置こうとするとリブートする。 
他モデルのTWRP Recoveryを書き込んで、su, busyboxをsystemに書いた→次回起動時にsu, busyboxが消されている。 
/data/bin/busybox とかおいて、 
/data/bin/busybox mount -o remount,rw /system 
とやってやれば、System領域の書き換えはできる。これでbuild.propをいじったり、不要なアプリを消すことはできる。 
xposed installerをデコンパイルして、"su"を"daemonsu"とか書き換えると、AppSettings.apkは動かせた。 
PCにSCL22を接続して、Kiesでファームウェア初期化、ってやるとC:\Users\xxxxx\AppData\Local\Tempに
ダウンロードしたROMが置かれる。 
これをコピってODINで書き込めば元に戻せるよ。 
ただし、WARRANTY_VOID=0x1だけは消せない。 
後は頑張ってくれ。 
-------
こういうこと? とりあえずdaemonsuは以下のサイト参考に入れれば4.4のsharp機でも動く
ttp://www.udoo.org/forum/threads/android-4-3-rooted.1294/
loopマウントの場合は
recovery-install.sh使えんので
systemマウント後
zygoteをkillする前に
/system/xbin/daemonsu --auto-daemon &
をかましておけばいけると思うが試してはいない
てか305sh(s0106)はinit.rcのrecovery-install.shも潰してあったよ
shf31は生きてたんだけどね >>378
06/07/08の最終FWでは、スレに書いてあるツールでは仮ルートすら取れないんだなこれが... >>379
sh-06eの最新って01.00.10じゃないの?
2014/12の時点でpingpong(cve-2015-3636)塞がってるって聞かないんだけど
逆に/proc/config.gzが塞がれてない機種ならば
カーネルビルドしてアドレス抜いて
iovyでいけんじゃね?
07eも2014/10の01.00.05ぽいのだが kkやjbの端末でiovyroot成功した人います? >>381
とりあえず、shf31(4.4)で仮rootはとれたよ
pingpongで既にとれてるから意味はないけど
iovyの動作確認的な意味合いで
最初fsyncのアドレスをまんま入れてうまくいかんかったけど
よく見たらoffsetで+0x38かましてるから
ptmx_fopsのアドレスをそのまま入れればよかったという >>382
ありがとうございます。
他の4つの関数も全て指定してですよね?
jbで試されてる方いないですかね? >>383
うん
ptmx_fops
sidtab
policydb
selinux_enabled
selinux_enforcing
の計5つ
pingpongはたまに失敗するイメージだけど
iovyはたまに成功するくらいの感じなので
何度か試す感じで >>383
jbのSHL22でなんとか成功しました
ptmx_fops以外の関数はNULLでいけましたよ 乙です
残り4つ全部selinux絡みだし
4.3以前はselinux無いものね(あってもpermissiveだし) >>385
確認ありがとうございます。
やっぱり成功率は低い感じですか? >>387
成功率以前の話で
IOVECSを小さくしないと途中で止まってしまうみたい
もし
[+] Allocating memory
で止まってるなら同じ症状だと思います >>388
まさにその状態でした。
小さくしてやってみます。
ありがとうございます。 >>388
ちなみに、どれぐらい小さくしたら成功しました? >>388
小さくしたら成功しました。
ありがとうございます wpoffのソース、githubから削除されてる。
誰か保存してないですか? git cloneはしてたから
あるとは思うんだが
本人消してるの上げるのは道義的にどうなんだろな
mmc_protectビルドしてinsmodすれば不要でもあるし 302SHは相変わらず仮rootまでしか取れてないのか ニューヨークソルトレイク」センター50代ィズニーちゃくふく春分FXさんどりしゅっちょう
https://www.youtube.com/watch?v=oMbYLIPZQ6c講演会自主責任
40代妄想ニュース事件情報報道内容自供グルテンそてい十代FXセーブデータ遠隔消去KAR-Dローン(シュッ)しょうきょ家賃滞納決算トラファルガー銀行光金動画蓄物牧場
電力自由化上野坂個人ニュー酢サービス不足ホテルバイトワインスーパーパワーギャンブル
マンハッタンシチリア無料モニターパリ横浜人事部新橋飲酒運転チャイナタウン義援金とうせん京都マネー
適正価格詐欺のうぜい国立ラスベガススーダンエクアドルチャイナタウンブックオフ経営費福祉沖縄中華旅行絶句ロスディレクタークビ30代不正労働ビザ
ぼったくり春文インフラ時事ネット遊園地たかが執行人(しん原宿あっせん安保上納金決算ドーピングニュース)井野頭3月経歴査定
虎の門20代無許可監督者保証池上ポセイドンニュース外国人秋葉原情報(ブフランス札幌西村ソフトバンクスーパーアドバイザー退会処分披露宴ビジネス) ■ このスレッドは過去ログ倉庫に格納されています