膜拜大神：OPPO R9s刷第三方twrp recovery和获取root权限的教程

看到论坛里很多人都说OPPO r9s不能 root ，不能刷第三方Recorery，我就哈哈了，
前几天刚刚把我的r9s 刷了！！！忍不住转发个教程显摆下~~~~~


OPPO R9s利用dirtycow漏洞强刷第三方twrp recovery和获取root权限的教程
原理：利用漏洞替换applypatch和app_process64，将recovery分区刷入selinux permissive的boot，进入recovery(实际上是selinux permissive的系统)，然后替换run-as就能获取root权限了，然后刷个twrp，之后想怎么玩就怎么玩了！

原创大神：wuxianlin
大神的原始教程不便于实际操作，小弟整理了下，按照操作先后顺序写的，更容易看懂。。。



相关文件：

文件超过附件大小限制，在 百度网盘 下载

准备工作：

1）手机不要打开“开发者选项”，只需要从通知栏下拉打开USB调试即可，否则在启动permissive的boot时会卡在正在启动Android请输入密码，这个很奇怪，暂时不清楚原因
2）将twrp的img文件（r9s-twrp-3.0.2.0-20170107.img）拷贝到内置sd卡，严格按教程需要将img文件重命名为twrp.img，
最后刷入成功后运行reboot recovery(adb shell中)进入twrp，不要重启手机后再进recovery模式
3）下载oppo r9s专用的root zip 包（UPDATE-SuperSU-v2.76-OppoR9s-rj.zip），也拷贝到内置sd卡。
4）将OPPO_R9s.rar下载到电脑C盘，解压缩。。。打开电脑Cmd命令黑窗口，进到OPPO_R9sroot目录（即运行命令 cd C:OPPO_R9sroot）


步骤一：

“将dirtycow漏洞利用程序复制进手机”


adb push dirtycow /data/local/tmp

adb push recowvery-applypatch /data/local/tmp

adb push recowvery-app_process64 /data/local/tmp

adb push recowvery-run-as /data/local/tmp



adb shell

cd /data/local/tmp

chmod 0777 *

./dirtycow /system/bin/applypatch recowvery-applypatch

"等待执行完成"

./dirtycow /system/bin/app_process64 recowvery-app_process64

"等待执行完成，此时手机在崩溃。"

"如果出现自动重启，马上按住音量下键，一直按住不放，进入步骤二"


exit


adb logcat -s recowvery

"等待提示成功"

按电脑键盘"[CTRL+C]"


adb shell reboot recovery

"等待手机重启"



步骤二：


adb shell


getenforce

"应该会显示Permissive"



cd /data/local/tmp

./dirtycow /system/bin/run-as recowvery-run-as

"等待执行完成"


run-as exec ./recowvery-applypatch boot(可以不执行)

"等待执行完成"(可以不执行)



run-as su

"获取root权限，shell变成root即表示成功"



dd if=/sdcard/twrp.img of=/dev/block/bootdevice/by-name/recovery

"将twrp刷入recovery分区"


reboot recovery


###################################################################
注意事项：
1）大神已经测试成功的系统版本有，正式版20161025；正式版20161007；内测版20170103。其它的版本还未测试。。。
2）在替换app_process64时手机可能会自动重启，此时马上按住音量下键，一直按住不放，跳过logcat步骤，如果按住音量下进入的是系统模式，则进入步骤二，否则重启系统重复步骤一。
3）进入步骤二时，即启动permissive的boot时，手机上可能会出现进度条，输入密码等，无视即可，等待开机，如果一直卡在正在启动Android请输入密码，那是因为你打开了开发者选项。
4）进入twrp Recovery后，滑动允许修改system分区，务必刷入大神提供的 UPDATE-SuperSU-v2.76-OppoR9s-rj.zip，这是个R9s专用版本，打了补丁的。刷入其它SuperSU版本，或在SuperSU授权App中更新二进制文件，都会导致开机进不了系统


疑问：
1.我刷入twrp时提示no such file or directory
因为你没有把twrp的img文件重命名为twrp.img复制到内置sd卡
2.进入twrp后出来一个界面，什么system分区读写啥的
滑动允许修改，R9s的system分区没有验证，不用管
3.我用twrp无法刷入官网的包
官方的包是ozip（oppo zip，基于zip的OPPO特有的加密格式，文件头OPPOENCRYPT！），twrp暂时只能刷入标准zip格式，从大神的网盘下载，【官方ROM-recovery可刷】中的*_local.zip为twrp可刷的包，*_local.ozip为OPPO官方recovery可刷的包