这个是利用已知的oppo手机漏洞 实现破解root并刷入TWRP Recovery的，，，亲测成功！

相关文件下载：

UPDATE-SuperSU-v2.76-OppoR9s-rj.zipOPPO_R9s.rar

UPDATE-SuperSU-v2.76-OppoR9s-rj.zip

准备工作：

1）手机不要打开“开发者选项”，只需要从通知栏下拉打开USB调试即可，否则在启动permissive的boot时会卡在正在启动Android请输入密码，这个很奇怪，暂时不清楚原因
2）将twrp的img文件（r9s-twrp-3.0.2.0-20170107.img）拷贝到内置sd卡，严格按教程需要将img文件重命名为twrp.img，
最后刷入成功后运行reboot recovery(adb shell中)进入twrp，不要重启手机后再进recovery模式
3）下载oppo r9s专用的SuperSU root包（UPDATE-SuperSU-v2.76-OppoR9s-rj.zip），也拷贝到内置sd卡。
4）将OPPO_R9s.rar下载到电脑C盘，解压缩。。。打开电脑Cmd命令黑窗口，进到OPPO_R9sroot目录（即运行命令 cd C:OPPO_R9sroot）

步骤一：

“将dirtycow漏洞利用程序复制进手机”

adb push dirtycow /data/local/tmp

adb push recowvery-applypatch /data/local/tmp

adb push recowvery-app_process64 /data/local/tmp

adb push recowvery-run-as /data/local/tmp

adb shell

cd /data/local/tmp

chmod 0777 *

./dirtycow /system/bin/applypatch recowvery-applypatch

"等待执行完成"

./dirtycow /system/bin/app_process64 recowvery-app_process64

"等待执行完成，此时手机在崩溃。"

"如果出现自动重启，马上按住音量下键，一直按住不放，进入步骤二"

exit

adb logcat -s recowvery

"等待提示成功"

按电脑键盘"[CTRL+C]"

adb shell reboot recovery

"等待手机重启"

步骤二：

adb shell

getenforce

"应该会显示Permissive"

cd /data/local/tmp

./dirtycow /system/bin/run-as recowvery-run-as

"等待执行完成"

run-as exec ./recowvery-applypatch boot(可以不执行)

"等待执行完成"(可以不执行)

run-as su

"获取root权限，shell变成root即表示成功"

dd if=/sdcard/twrp.img of=/dev/block/bootdevice/by-name/recovery

"将twrp刷入recovery分区"

reboot recovery

###################################################################
注意事项：
1）我们已经测试成功系统版本有，正式版20161025；正式版20161007；内测版20170103。其它的版本还未测试。。。
2）在替换app_process64时手机可能会自动重启，此时马上按住音量下键，一直按住不放，跳过logcat步骤，如果按住音量下进入的是系统模式，则进入步骤二，否则重启系统重复步骤一。
3）进入步骤二时，即启动permissive的boot时，手机上可能会出现进度条，输入密码等，无视即可，等待开机，如果一直卡在正在启动Android请输入密码，那是因为你打开了开发者选项。
4）进入twrp Recovery后，滑动允许修改system分区，务必刷入我们提供的 UPDATE-SuperSU-v2.76-OppoR9s-rj.zip，这是个R9s专用版本，打了补丁的。不要刷其它版本的SuperSU，也不要在SuperSU授权App里面更新二进制文件，否则重启手机 不能进系统，只能进Recovery。

疑问：
1.我刷入twrp时提示no such file or directory
因为你没有把twrp的img文件重命名为twrp.img复制到内置sd卡
2.进入twrp后出来一个界面，什么system分区读写啥的
滑动允许修改，R9s的system分区没有验证，不用管
3.我用twrp无法刷入官网的包
官方的包是ozip（oppo zip，基于zip的OPPO特有的加密格式，文件头OPPOENCRYPT！），twrp暂时只能刷入标准zip格式，从我网盘下载，【官方ROM-recovery可刷】中的*_local.zip为twrp可刷的包，*_local.ozip为OPPO官方recovery可刷的包