Exploiting Content Providers
Iskorišćavanje Provajdera Sadržaja
Uvod
Podaci se dostavljaju iz jedne aplikacije drugima na zahtev pomoću komponente poznate kao provajder sadržaja. Ovi zahtevi se upravljaju putem metoda klase ContentResolver. Provajderi sadržaja mogu čuvati svoje podatke na različitim lokacijama, kao što su baza podataka, fajlovi, ili preko mreže.
U Manifest.xml fajlu, deklaracija provajdera sadržaja je obavezna. Na primer:
Da biste pristupili content://com.mwr.example.sieve.DBContentProvider/Keys
, potrebna je dozvola READ_KEYS
. Zanimljivo je napomenuti da je putanja /Keys/
pristupačna u sledećem odeljku, koji nije zaštićen zbog greške developera, koji je obezbedio /Keys
ali je deklarisao /Keys/
.
Možda možete pristupiti privatnim podacima ili iskoristiti neku ranjivost (SQL Injection ili Traversing Path).
Dobijanje informacija iz izloženih provajdera sadržaja
Moguće je sastaviti kako bi se došlo do DBContentProvider-a počevši URIs sa "content://". Ovaj pristup se zasniva na uvidima dobijenim korišćenjem Drozera, gde su ključne informacije locirane u /Keys direktorijumu.
Drozer može pogoditi i isprobati nekoliko URIs:
Trebalo bi takođe da proverite kôd ContentProvidera kako biste pretražili upite:
Takođe, ako ne možete pronaći kompletne upite, možete proveriti koja imena su deklarisana od strane ContentProvidera u metodi onCreate
:
Upit će izgledati ovako: content://ime.paketa.klase/deklarisano_ime
Content Provideri sa podrškom za bazu podataka
Verovatno se većina Content Providera koristi kao interfejs za bazu podataka. Stoga, ako im možete pristupiti, možda ćete moći da izvučete, ažurirate, ubacite i obrišete informacije. Proverite da li možete pristupiti osetljivim informacijama ili pokušajte da ih promenite kako biste zaobišli mehanizme autorizacije.
Prilikom provere koda Content Providera, takođe potražite funkcije nazvane kao: query, insert, update i delete:
Jer ćete moći da ih pozovete
Upit sadržaja
Ubacivanje sadržaja
Pretraživanjem baze podataka saznaćete ime kolona, nakon toga moći ćete da ubacite podatke u bazu podataka:
Napomena da prilikom ubacivanja i ažuriranja možete koristiti --string za string, --double za double, --float, --integer, --long, --short, --boolean
Ažuriranje sadržaja
Znajući ime kolona takođe možete izmeniti unose:
Brisanje sadržaja
SQL Injection
Jednostavno je testirati SQL injection (SQLite) manipulišući projekcijom i selekcijom polja koja se prosleđuju pružaocu sadržaja. Prilikom pretraživanja pružaoca sadržaja postoje 2 interesantna argumenta za traženje informacija: --selection i --projection:
Možete pokušati da zloupotrebite ove parametre kako biste testirali SQL injection:
Automatsko otkrivanje SQLInjection-a pomoću Drozera
Content Provideri podržani fajl sistemom
Content Provideri takođe mogu biti korišćeni za pristup fajlovima:
Čitanje fajla
Možete čitati fajlove iz Content Providera
Putanja Traversal
Ako možete pristupiti datotekama, možete pokušati zloupotrebiti Putanju Traversal (u ovom slučaju to nije neophodno, ali možete pokušati koristiti "../" i slične trikove).
Automatsko otkrivanje putanje prolaska pomoću Drozera
Reference
Last updated