Exploiting Content Providers
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Los datos son suministrados de una aplicación a otras a solicitud por un componente conocido como content provider. Estas solicitudes son gestionadas a través de los métodos de la ContentResolver class. Los content providers pueden almacenar sus datos en varias ubicaciones, como una base de datos, archivos o a través de una red.
En el archivo Manifest.xml, se requiere la declaración del content provider. Por ejemplo:
Para acceder a content://com.mwr.example.sieve.DBContentProvider/Keys
, se necesita el permiso READ_KEYS
. Es interesante notar que la ruta /Keys/
es accesible en la siguiente sección, que no está protegida debido a un error del desarrollador, quien aseguró /Keys
pero declaró /Keys/
.
Quizás puedas acceder a datos privados o explotar alguna vulnerabilidad (SQL Injection o Path Traversal).
Es posible juntar cómo llegar al DBContentProvider comenzando URIs con “content://”. Este enfoque se basa en los conocimientos adquiridos al usar Drozer, donde se encontraba información clave en el /Keys directorio.
Drozer puede adivinar y probar varios URIs:
Deberías también revisar el código de ContentProvider para buscar consultas:
Además, si no puedes encontrar consultas completas, podrías ver qué nombres están declarados por el ContentProvider en el método onCreate
:
La consulta será como: content://name.of.package.class/declared_name
Probablemente la mayoría de los Content Providers se utilizan como interfaz para una base de datos. Por lo tanto, si puedes acceder a ella, podrías extraer, actualizar, insertar y eliminar información. Verifica si puedes acceder a información sensible o intenta cambiarla para eludir mecanismos de autorización.
Al revisar el código del Content Provider, busca también funciones nombradas como: query, insert, update y delete:
Porque podrás llamarlas
Consultando la base de datos aprenderás el nombre de las columnas, luego, podrías ser capaz de insertar datos en la DB:
Nota que en insertar y actualizar puedes usar --string para indicar cadena, --double para indicar un doble, --float, --integer, --long, --short, --boolean
Conociendo el nombre de las columnas también podrías modificar las entradas:
Es simple probar la inyección SQL (SQLite) manipulando los campos de proyección y selección que se pasan al proveedor de contenido. Al consultar el Proveedor de Contenido hay 2 argumentos interesantes para buscar información: --selection y --projection:
Puedes intentar abusar de estos parámetros para probar inyecciones SQL:
Descubrimiento automático de SQLInjection por Drozer
Los proveedores de contenido también se pueden usar para acceder a archivos:
Puedes leer archivos del Proveedor de Contenido
Si puedes acceder a archivos, puedes intentar abusar de un Traversal de Ruta (en este caso no es necesario, pero puedes intentar usar "../" y trucos similares).
Descubrimiento automático de Path Traversal por Drozer
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)