iOS UIActivity Sharing

Kushiriki UIActivity

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako inatangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MPANGO WA KUJIUNGA!
Pata swag rasmi ya PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwa HackTricks na HackTricks Cloud repos za github.

Kushiriki UIActivity Imesanifishwa

Tangu iOS 6 kuendelea, programu za watu wa tatu zimezawezeshwa kushiriki data kama vile maandishi, URL, au picha kwa kutumia mifumo kama AirDrop, kama ilivyoelezwa katika mwongozo wa Mawasiliano ya Programu kwa Programu wa Apple. Kipengele hiki kinajitokeza kupitia karatasi ya shughuli ya kushiriki ya mfumo ambayo inaonekana baada ya kuingiliana na kifungo cha "Shiriki".

Orodha kamili ya chaguzi zote za kushiriki zilizojengwa tayari inapatikana kwenye UIActivity.ActivityType. Watengenezaji wanaweza kuchagua kuondoa chaguzi za kushiriki maalum ikiwa wanadhani hazifai kwa maombi yao.

Jinsi ya Kushiriki Data

Umakini unapaswa kuwekwa kwenye:

Asili ya data inayoshirikiwa.
Uingizaji wa shughuli za desturi.
Kutengwa kwa aina fulani za shughuli.

Kushiriki kunawezeshwa kupitia kuanzisha UIActivityViewController, ambapo vitu vilivyokusudiwa kushirikiwa vinapitishwa. Hii inafanikiwa kwa kuita:

$ rabin2 -zq Telegram\ X.app/Telegram\ X | grep -i activityItems
0x1000df034 45 44 initWithActivityItems:applicationActivities:

Wabunifu wanapaswa kuchunguza UIActivityViewController kwa shughuli na shughuli za desturi ambazo imeanzishwa nazo, pamoja na aina zozote zilizotengwa za shughuli (excludedActivityTypes).

Jinsi ya Kupokea Data

Vipengele vifuatavyo ni muhimu wakati wa kupokea data:

Tamko la aina za hati za desturi.
Maelezo ya aina za hati ambazo programu inaweza kufungua.
Uhakiki wa usahihi wa data iliyopokelewa.

Bila kupata nambari ya chanzo, mtu bado anaweza kukagua Info.plist kwa funguo kama vile UTExportedTypeDeclarations, UTImportedTypeDeclarations, na CFBundleDocumentTypes ili kuelewa aina za hati ambazo programu inaweza kushughulikia na kutangaza.

Mwongozo mfupi juu ya funguo hizi unapatikana kwenye Stackoverflow, ukionyesha umuhimu wa kutaja na kuagiza UTIs kwa kutambuliwa kwa mfumo kwa ujumla na kuunganisha aina za hati na programu yako kwa ushirikiano katika mazungumzo ya "Fungua Kwa".

Njia ya Jaribio la Kudumu

Kwa kujaribu shughuli za kutuma, mtu anaweza:

Kuingia kwenye njia ya init(activityItems:applicationActivities:) ili kuchukua vitu na shughuli zinazoshirikiwa.
Kutambua shughuli zilizotengwa kwa kuingilia mali ya excludedActivityTypes.

Kwa kupokea vitu, inahusisha:

Kushiriki faili na programu kutoka chanzo kingine (k.m., AirDrop, barua pepe) ambayo inaleta mazungumzo ya "Fungua na...".
Kuingia kwenye njia ya application:openURL:options: pamoja na njia nyingine zilizotambuliwa wakati wa uchambuzi wa tuli ili kuona jibu la programu.
Kutumia faili zilizoharibika au mbinu za fuzzing ili kutathmini uimara wa programu.

Marejeo

https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06h-testing-platform-interaction

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa muundo wa PDF Angalia MPANGO WA KUJIUNGA!
Pata swag rasmi wa PEASS & HackTricks
Gundua The PEASS Family, mkusanyiko wetu wa NFTs za kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram](https://t.me/peass) au tufuate kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwa HackTricks na HackTricks Cloud github repos.

PreviousiOS Testing Environment NextiOS Universal Links

Last updated 2 months ago