GCP - Firebase Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
La base de données en temps réel Firebase est une base de données NoSQL hébergée dans le cloud qui vous permet de stocker et de synchroniser des données entre vos utilisateurs en temps réel. En savoir plus.
Certains points de terminaison Firebase pourraient être trouvés dans des applications mobiles. Il est possible que le point de terminaison Firebase utilisé soit mal configuré, accordant à tout le monde des privilèges de lecture (et d'écriture).
Voici la méthodologie courante pour rechercher et exploiter des bases de données Firebase mal configurées :
Obtenez l'APK de l'application, vous pouvez utiliser n'importe quel outil pour obtenir l'APK depuis le dispositif pour cette POC. Vous pouvez utiliser “APK Extractor” https://play.google.com/store/apps/details?id=com.ext.ui&hl=e
Décompilez l'APK en utilisant apktool, suivez la commande ci-dessous pour extraire le code source de l'APK.
Allez dans le res/values/strings.xml et recherchez ce mot-clé et cherchez le mot-clé “firebase”
Vous pourriez trouver quelque chose comme cette URL “https://xyz.firebaseio.com/”
Ensuite, allez dans le navigateur et naviguez vers l'URL trouvée : https://xyz.firebaseio.com/.json
2 types de réponses peuvent apparaître :
“Permission Denied” : Cela signifie que vous ne pouvez pas y accéder, donc c'est bien configuré
Réponse “null” ou un tas de données JSON : Cela signifie que la base de données est publique et que vous avez au moins un accès en lecture.
Dans ce cas, vous pourriez vérifier les privilèges d'écriture, un exploit pour tester les privilèges d'écriture peut être trouvé ici : https://github.com/MuhammadKhizerJaved/Insecure-Firebase-Exploit
Note intéressante : Lors de l'analyse d'une application mobile avec MobSF, si elle trouve une base de données firebase, elle vérifiera si celle-ci est publiquement disponible et le notifiera.
Alternativement, vous pouvez utiliser Firebase Scanner, un script python qui automatise la tâche ci-dessus comme montré ci-dessous :
Si vous avez des identifiants pour accéder à la base de données Firebase, vous pouvez utiliser un outil tel que Baserunner pour accéder plus facilement aux informations stockées. Ou un script comme le suivant :
Pour tester d'autres actions sur la base de données, telles que l'écriture dans la base de données, consultez la documentation de Pyrebase4 qui peut être trouvée ici.
Si vous décompilez l'application iOS et ouvrez le fichier GoogleService-Info.plist
et que vous trouvez la clé API et l'ID APP :
CLÉ API AIzaSyAs1[...]
ID APP 1:612345678909:ios:c212345678909876
Vous pourriez être en mesure d'accéder à des informations intéressantes.
Demande
curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)