这个是利用已知的oppo手机漏洞 实现破解root并刷入TWRP Recovery的，，，亲测成功！

相关文件下载：

UPDATE-SuperSU-v2.76-OppoR9s-rj.zipOPPO_R9s.rar

UPDATE-SuperSU-v2.76-OppoR9s-rj.zip

准备工作： 1）手机不要打开“开发者选项”，只需要从通知栏下拉打开USB调试即可，否则在启动permissive的boot时会卡在正在启动Android请输入密码，这个很奇怪，暂时不清楚原因 2）将twrp的img文件（r9s-twrp-3.0.2.0-20170107.img）拷贝到内置sd卡，严格按教程需要将img文件重命名为twrp.img， 最后刷入成功后运行reboot recovery(adb shell中)进入twrp，不要重启手机后再进recovery模式 3）下载oppo r9s专用的SuperSU root包（UPDATE-SuperSU-v2.76-OppoR9s-rj.zip），也拷贝到内置sd卡。 4）将OPPO_R9s.rar下载到电脑C盘，解压缩。。。打开电脑Cmd命令黑窗口，进到OPPO_R9sroot目录（即运行命令 cd C:OPPO_R9sroot）

步骤一： “将dirtycow漏洞利用程序复制进手机” adb push dirtycow /data/local/tmp adb push recowvery-applypatch /data/local/tmp adb push recowvery-app_process64 /data/local/tmp adb push recowvery-run-as /data/local/tmp adb shell cd /data/local/tmp chmod 0777 * ./dirtycow /system/bin/applypatch recowvery-applypatch "等待执行完成" ./dirtycow /system/bin/app_process64 recowvery-app_process64 "等待执行完成，此时手机在崩溃。" "如果出现自动重启，马上按住音量下键，一直按住不放，进入步骤二" exit adb logcat -s recowvery "等待提示成功" 按电脑键盘"[CTRL+C]" adb shell reboot recovery "等待手机重启" 步骤二： adb shell getenforce "应该会显示Permissive" cd /data/local/tmp ./dirtycow /system/bin/run-as recowvery-run-as "等待执行完成" run-as exec ./recowvery-applypatch boot(可以不执行) "等待执行完成"(可以不执行) run-as su "获取root权限，shell变成root即表示成功" dd if=/sdcard/twrp.img of=/dev/block/bootdevice/by-name/recovery "将twrp刷入recovery分区" reboot recovery ################################################################### 注意事项： 1）我们已经测试成功系统版本有，正式版20161025；正式版20161007；内测版20170103。其它的版本还未测试。。。 2）在替换app_process64时手机可能会自动重启，此时马上按住音量下键，一直按住不放，跳过logcat步骤，如果按住音量下进入的是系统模式，则进入步骤二，否则重启系统重复步骤一。 3）进入步骤二时，即启动permissive的boot时，手机上可能会出现进度条，输入密码等，无视即可，等待开机，如果一直卡在正在启动Android请输入密码，那是因为你打开了开发者选项。 4）进入twrp Recovery后，滑动允许修改system分区，务必刷入我们提供的 UPDATE-SuperSU-v2.76-OppoR9s-rj.zip，这是个R9s专用版本，打了补丁的。不要刷其它版本的SuperSU，也不要在SuperSU授权App里面更新二进制文件，否则重启手机 不能进系统，只能进Recovery。 疑问： 1.我刷入twrp时提示no such file or directory 因为你没有把twrp的img文件重命名为twrp.img复制到内置sd卡 2.进入twrp后出来一个界面，什么system分区读写啥的 滑动允许修改，R9s的system分区没有验证，不用管 3.我用twrp无法刷入官网的包 官方的包是ozip（oppo zip，基于zip的OPPO特有的加密格式，文件头OPPOENCRYPT！），twrp暂时只能刷入标准zip格式，从我网盘下载，【官方ROM-recovery可刷】中的*_local.zip为twrp可刷的包，*_local.ozip为OPPO官方recovery可刷的包