GCP - Firebase Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Firebase

Firebase Realtime Databaseは、ユーザー間でデータをリアルタイムで保存および同期できるクラウドホストのNoSQLデータベースです。詳細を学ぶ。

認証されていない列挙

一部のFirebaseエンドポイントはモバイルアプリケーションに存在する可能性があります。使用されているFirebaseエンドポイントが不適切に構成されており、誰でも読み取り（および書き込み）権限を持っている可能性があります。

これは、不適切に構成されたFirebaseデータベースを検索して悪用する一般的な方法論です：

アプリのAPKを取得します。このPOCのためにデバイスからAPKを取得するために任意のツールを使用できます。「APK Extractor」を使用できます https://play.google.com/store/apps/details?id=com.ext.ui&hl=e
apktoolを使用してAPKをデコンパイルします。以下のコマンドに従ってAPKからソースコードを抽出します。
_res/values/strings.xml_に移動し、これを探して「firebase」キーワードを検索します。
「https://xyz.firebaseio.com/」のようなものが見つかるかもしれません。
次に、ブラウザに移動し、見つけたURLに移動します：https://xyz.firebaseio.com/.json
2種類のレスポンスが表示される可能性があります：
1. 「Permission Denied」：これはアクセスできないことを意味し、適切に構成されています。
2. 「null」レスポンスまたは一連のJSONデータ：これはデータベースが公開されており、少なくとも読み取りアクセスがあることを意味します。
  1. この場合、書き込み権限を確認できます。書き込み権限をテストするためのエクスプロイトはここにあります：https://github.com/MuhammadKhizerJaved/Insecure-Firebase-Exploit

興味深い注記：MobSFを使用してモバイルアプリケーションを分析する際、Firebaseデータベースが見つかると、それが公開されているかどうかを確認し、通知します。

また、Firebase Scannerを使用することもでき、上記のタスクを自動化するPythonスクリプトです。

python FirebaseScanner.py -f <commaSeperatedFirebaseProjectNames>

Authenticated Enum

Firebaseデータベースにアクセスするための資格情報がある場合、Baserunnerのようなツールを使用して、保存された情報により簡単にアクセスできます。または、次のようなスクリプトを使用できます:

#Taken from https://blog.assetnote.io/bug-bounty/2020/02/01/expanding-attack-surface-react-native/
import pyrebase

config = {
"apiKey": "FIREBASE_API_KEY",
"authDomain": "FIREBASE_AUTH_DOMAIN_ID.firebaseapp.com",
"databaseURL": "https://FIREBASE_AUTH_DOMAIN_ID.firebaseio.com",
"storageBucket": "FIREBASE_AUTH_DOMAIN_ID.appspot.com",
}

firebase = pyrebase.initialize_app(config)

db = firebase.database()

print(db.get())

他のデータベースアクションをテストするには、データベースへの書き込みなど、こちらにあるPyrebaseのドキュメントを参照してください。

APPIDとAPIキーで情報にアクセスする

iOSアプリケーションを逆コンパイルし、GoogleService-Info.plistファイルを開くと、APIキーとAPP IDが見つかる場合があります：

API KEY AIzaSyAs1[...]
APP ID 1:612345678909:ios:c212345678909876

興味深い情報にアクセスできるかもしれません。

リクエスト

curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'

参考文献

AWSハッキングを学び、練習する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、練習する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

PreviousGCP - Filestore Enum NextGCP - Firestore Enum

Last updated 1 month ago