Exploiting Content Providers
Ausnutzen von Content Providern
Einführung
Daten werden auf Anfrage von einer Anwendung an andere durch eine Komponente namens Content Provider bereitgestellt. Diese Anfragen werden über die Methoden der Klasse ContentResolver verwaltet. Content Provider können ihre Daten an verschiedenen Orten speichern, wie z.B. in einer Datenbank, Dateien oder über ein Netzwerk.
In der Datei Manifest.xml ist die Deklaration des Content Providers erforderlich. Zum Beispiel:
Um auf content://com.mwr.example.sieve.DBContentProvider/Keys
zuzugreifen, ist die READ_KEYS
Berechtigung erforderlich. Interessanterweise ist der Pfad /Keys/
im folgenden Abschnitt zugänglich, der aufgrund eines Fehlers des Entwicklers nicht geschützt ist. Dieser hat /Keys
gesichert, aber /Keys/
deklariert.
Vielleicht können Sie auf private Daten zugreifen oder eine Schwachstelle ausnutzen (SQL-Injection oder Pfadtraversierung).
Informationen von offengelegten Inhaltsanbietern erhalten
Es ist möglich, herauszufinden, wie man auf den DBContentProvider zugreifen kann, indem man URIs mit "content://" beginnt. Dieser Ansatz basiert auf Erkenntnissen, die durch die Verwendung von Drozer gewonnen wurden, wo wichtige Informationen im /Keys Verzeichnis gefunden wurden.
Drozer kann mehrere URIs erraten und ausprobieren:
Du solltest auch den ContentProvider-Code überprüfen, um nach Abfragen zu suchen:
Wenn du keine vollständigen Abfragen finden kannst, könntest du auch überprüfen, welche Namen vom ContentProvider in der onCreate
-Methode deklariert sind:
Die Abfrage wird wie folgt aussehen: content://name.of.package.class/declared_name
Datenbankgestützte Content-Provider
Vermutlich werden die meisten Content-Provider als Schnittstelle für eine Datenbank verwendet. Daher könntest du, wenn du darauf zugreifen kannst, in der Lage sein, Informationen zu extrahieren, zu aktualisieren, einzufügen und zu löschen. Überprüfe, ob du auf sensible Informationen zugreifen kannst oder versuche, sie zu ändern, um Autorisierungsmechanismen zu umgehen.
Beim Überprüfen des Codes des Content Providers solltest du auch nach Funktionen suchen, die wie folgt benannt sind: query, insert, update und delete:
Da du in der Lage sein wirst, sie aufzurufen
Inhaltsabfrage
Inhalte einfügen
Durch Abfragen der Datenbank lernen Sie die Namen der Spalten kennen, dann können Sie Daten in die DB einfügen:
Beachten Sie, dass Sie bei Einfüge- und Aktualisierungsvorgängen --string verwenden können, um einen String anzugeben, --double für eine Dezimalzahl, --float, --integer, --long, --short, --boolean
Inhalte aktualisieren
Indem Sie die Namen der Spalten kennen, können Sie auch die Einträge ändern:
Inhalte löschen
SQL Injection
Es ist einfach, SQL-Injektionen (SQLite) zu testen, indem Sie die Projektion und Auswahlfelder manipulieren, die an den Content Provider übergeben werden. Beim Abfragen des Content Providers gibt es 2 interessante Argumente zur Suche nach Informationen: --selection und --projection:
Sie können versuchen, diese Parameter zu missbrauchen, um nach SQL-Injektionen zu testen:
Automatische SQLInjection-Entdeckung durch Drozer
Dateisystem-gestützte Content Provider
Content Provider können auch verwendet werden, um auf Dateien zuzugreifen:
Datei lesen
Sie können Dateien vom Content Provider lesen
Pfadtraversierung
Wenn Sie auf Dateien zugreifen können, können Sie versuchen, eine Pfadtraversierung zu missbrauchen (in diesem Fall ist dies nicht notwendig, aber Sie können versuchen, "../" und ähnliche Tricks zu verwenden).
Automatische Entdeckung von Pfadtraversierung durch Drozer
Referenzen
Last updated