diff --git a/src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md b/src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md index f44d94a4f..a3570aa52 100644 --- a/src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md +++ b/src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md @@ -12,9 +12,9 @@ In die _Manifest.xml_ lêer is die verklaring van die content provider vereis. B ``` -Om toegang te verkry tot `content://com.mwr.example.sieve.DBContentProvider/Keys`, is die `READ_KEYS` toestemming nodig. Dit is interessant om op te let dat die pad `/Keys/` in die volgende afdeling toeganklik is, wat nie beskerm is nie weens 'n fout van die ontwikkelaar, wat `/Keys` beveilig het, maar `/Keys/` verklaar het. +Om toegang te verkry tot `content://com.mwr.example.sieve.DBContentProvider/Keys`, is die `READ_KEYS` toestemming nodig. Dit is interessant om op te let dat die pad `/Keys/` in die volgende afdeling toeganklik is, wat nie beskerm is nie as gevolg van 'n fout deur die ontwikkelaar, wat `/Keys` beveilig het, maar `/Keys/` verklaar het. -**Miskien kan jy privaat data bekom of 'n sekere kwesbaarheid (SQL Injection of Path Traversal) benut.** +**Misschien kan jy privaat data toegang of 'n sekuriteitsfout (SQL Injection of Path Traversal) benut.** ## Kry inligting van **blootgestelde inhoudverskaffers** ``` @@ -56,7 +56,7 @@ U moet ook die **ContentProvider kode** nagaan om vir navrae te soek: ![](<../../../images/image (121) (1) (1) (1).png>) -As u ook nie volle navrae kan vind nie, kan u **kyk watter name deur die ContentProvider verklaar is** in die `onCreate` metode: +As u ook nie volle navrae kan vind nie, kan u **kyk watter name deur die ContentProvider verklaar word** in die `onCreate` metode: ![](<../../../images/image (564).png>) @@ -64,8 +64,8 @@ Die navraag sal soos volg wees: `content://name.of.package.class/declared_name` ## **Databasis-ondersteunde Content Providers** -Waarskynlik word die meeste van die Content Providers as **koppelvlak** vir 'n **databasis** gebruik. Daarom, as u toegang kan verkry, kan u in staat wees om **inligting te onttrek, op te dateer, in te voeg en te verwyder**.\ -Kyk of u **toegang tot sensitiewe inligting** kan verkry of probeer om dit te verander om **autorisasiemeganismes** te omseil. +Waarskynlik word die meeste van die Content Providers as **koppelvlak** vir 'n **databasis** gebruik. Daarom, as u toegang kan kry, kan u in staat wees om **inligting te onttrek, op te dateer, in te voeg en te verwyder**.\ +Kyk of u **toegang tot sensitiewe inligting** kan kry of probeer om dit te verander om **autorisasiemeganismes te omseil**. Wanneer u die kode van die Content Provider nagaan, **kyk** ook vir **funksies** wat soos volg genoem word: _query, insert, update en delete_: @@ -93,11 +93,11 @@ Deur die databasis te ondervra, sal jy die **naam van die kolomme** leer, dan ka ![](<../../../images/image (173).png>) -_Not dat jy in invoeg en opdateer --string kan gebruik om 'n string aan te dui, --double om 'n dubbel aan te dui, --float, --integer, --long, --short, --boolean_ +_Nota dat jy in invoeg en opdatering --string kan gebruik om 'n string aan te dui, --double om 'n double aan te dui, --float, --integer, --long, --short, --boolean_ -### Opdateer inhoud +### Werk inhoud op -Met die naam van die kolomme kan jy ook **die inskrywings** **wysig**: +As jy die naam van die kolomme ken, kan jy ook die **ingevoerde waardes** **wysig**: ![](<../../../images/image (780).png>) @@ -173,10 +173,62 @@ Vulnerable Providers: content://com.mwr.example.sieve.FileBackupProvider/ content://com.mwr.example.sieve.FileBackupProvider ``` +## 2023-2025 Opdaterings & Moderne Wenke + +### Drozer 3.x (Python 3) is uit + +WithSecure het in 2022 die onderhoud van drozer hervat en die raamwerk na **Python 3** (nuutste **3.1.0 – April 2024**) oorgedra. +Benewens kompatibiliteitsoplossings, sluit nuwe modules in wat veral nuttig is wanneer daar met Content Providers gewerk word: + +* `scanner.provider.exported` – lys slegs verskaffers met `android:exported="true"`. +* `app.provider.grant` – roep outomaties `grantUriPermission()` aan sodat jy met verskaffers kan praat wat `FLAG_GRANT_READ_URI_PERMISSION` / `FLAG_GRANT_WRITE_URI_PERMISSION` op Android 12+ verwag. +* Beter hantering van **Scoped Storage** sodat lêer-gebaseerde verskaffers op Android 11+ steeds bereik kan word. + +Opgradeer (gasheer & agent): +```bash +pipx install --force "git+https://github.com/WithSecureLabs/drozer@v3.1.0" +adb install drozer-agent-3.1.0.apk +``` +### Gebruik die ingeboude `cmd content` helper (ADB ≥ 8.0) + +Alle moderne Android-toestelle word gelewer met 'n CLI wat verskaffers kan vra/opdateer **sonder om enige agent te installeer**: +```bash +adb shell cmd content query --uri content://com.test.provider/items/ +adb shell cmd content update --uri content://com.test.provider/items/1 \ +--bind price:d:1337 +adb shell cmd content call --uri content://com.test.provider \ +--method evilMethod --arg 'foo' +``` +Combineer dit met `run-as ` of 'n ge-rootde skulp om interne slegs verskaffers te toets. + +### Onlangs werklike CVE's wat Content Providers misbruik gemaak het + +| CVE | Jaar | Komponent | Fout klas | Impak | +|-----|------|-----------|-----------|--------| +| CVE-2024-43089 | 2024 | MediaProvider | Pad traversering in `openFile()` | Arbitraire lêer lees vanaf enige app se privaat stoor | +| CVE-2023-35670 | 2023 | MediaProvider | Pad traversering | Inligting openbaarstelling | + +Herstel CVE-2024-43089 op 'n kwesbare weergawe: +```bash +adb shell cmd content read \ +--uri content://media/external_primary/file/../../data/data/com.target/shared_prefs/foo.xml +``` +### Versterking kontrolelys vir API 30+ + +* Verklaar `android:exported="false"` tensy die verskaffer **moet** publiek wees – vanaf API 31 is die attribuut verpligtend. +* Handhaaf **toestemmings** en/of `android:grantUriPermissions="true"` in plaas van om die hele verskaffer te eksport. +* Witlys toegelate `projection`, `selection` en `sortOrder` argumente (bv. bou navrae met `SQLiteQueryBuilder.setProjectionMap`). +* In `openFile()` kanoniseer die versoekte pad (`FileUtils`) en verwerp `..` volgorde om traversering te voorkom. +* Wanneer jy lêers blootstel, verkies **Storage Access Framework** of 'n `FileProvider`. + +Hierdie veranderinge in onlangse Android weergawes beteken dat baie erfenis eksploitasiemiddele steeds werk, maar addisionele vlae/toestemmings vereis wat die opgedateerde drozer modules of `cmd content` helper outomaties kan toepas. + ## Verwysings - [https://www.tutorialspoint.com/android/android_content_providers.htm](https://www.tutorialspoint.com/android/android_content_providers.htm) - [https://manifestsecurity.com/android-application-security-part-15/](https://manifestsecurity.com/android-application-security-part-15/) - [https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf](https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf) +- [https://github.com/WithSecureLabs/drozer/releases/tag/3.1.0](https://github.com/WithSecureLabs/drozer/releases/tag/3.1.0) +- [https://source.android.com/security/bulletin/2024-07-01](https://source.android.com/security/bulletin/2024-07-01) {{#include ../../../banners/hacktricks-training.md}} diff --git a/theme/ai.js b/theme/ai.js index 68d091923..a376d751b 100644 --- a/theme/ai.js +++ b/theme/ai.js @@ -4,9 +4,10 @@ (() => { - const KEY = 'htSummerDiscountDismissed'; - const IMG = '/images/discount.jpeg'; - const TXT = 'HT Summer Discount, Last Days!'; + const KEY = 'htSummerDiscountsDismissed'; + const IMG = '/images/discount.jpeg'; + const TXT = 'Click here for HT Summer Discounts, Last Days!'; + const URL = 'https://training.hacktricks.xyz'; /* Stop if user already dismissed */ if (localStorage.getItem(KEY) === 'true') return; @@ -32,13 +33,37 @@ display: flex; flex-direction: column; align-items: stretch; `); - /* --- Title bar (separate, over image) --- */ + /* --- Title bar (link + close) --- */ const titleBar = $('div', ` - padding: 1rem; text-align: center; + position: relative; + padding: 1rem 2.5rem 1rem 1rem; /* room for the close button */ + text-align: center; background: #222; color: #fff; font-size: 1.3rem; font-weight: 700; `); - titleBar.textContent = TXT; + + const link = $('a', ` + color: inherit; + text-decoration: none; + display: block; + `); + link.href = URL; + link.target = '_blank'; + link.rel = 'noopener noreferrer'; + link.textContent = TXT; + titleBar.appendChild(link); + + /* Close "X" (no persistence) */ + const closeBtn = $('button', ` + position: absolute; top: .25rem; right: .5rem; + background: transparent; border: none; + color: #fff; font-size: 1.4rem; line-height: 1; + cursor: pointer; padding: 0; margin: 0; + `); + closeBtn.setAttribute('aria-label', 'Close'); + closeBtn.textContent = '✕'; + closeBtn.onclick = () => overlay.remove(); + titleBar.appendChild(closeBtn); /* --- Image --- */ const img = $('img'); @@ -62,14 +87,15 @@ modal.append(titleBar, img, label); overlay.appendChild(modal); - (document.readyState === 'loading' - ? () => document.addEventListener('DOMContentLoaded', () => document.body.appendChild(overlay), { once: true }) - : () => document.body.appendChild(overlay))(); + if (document.readyState === 'loading') { + document.addEventListener('DOMContentLoaded', () => document.body.appendChild(overlay), { once: true }); + } else { + document.body.appendChild(overlay); + } })(); - /** * HackTricks AI Chat Widget v1.16 – resizable sidebar * ---------------------------------------------------