GCP - Firebase Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Firebase

O Firebase Realtime Database é um banco de dados NoSQL hospedado na nuvem que permite armazenar e sincronizar dados entre seus usuários em tempo real. Saiba mais.

Enum Não Autenticado

Alguns endpoints do Firebase podem ser encontrados em aplicações móveis. É possível que o endpoint do Firebase utilizado esteja configurado de forma inadequada, concedendo privilégios a todos para ler (e escrever) nele.

Esta é a metodologia comum para pesquisar e explorar bancos de dados Firebase mal configurados:

Obtenha o APK do aplicativo, você pode usar qualquer uma das ferramentas para obter o APK do dispositivo para este POC. Você pode usar “APK Extractor” https://play.google.com/store/apps/details?id=com.ext.ui&hl=e
Decompile o APK usando apktool, siga o comando abaixo para extrair o código-fonte do APK.
Vá para o res/values/strings.xml e procure por isso e busque pela palavra-chave “firebase”
Você pode encontrar algo como esta URL “https://xyz.firebaseio.com/”
Em seguida, vá para o navegador e navegue até a URL encontrada: https://xyz.firebaseio.com/.json
2 tipos de respostas podem aparecer:
“Permissão Negada”: Isso significa que você não pode acessá-lo, então está bem configurado
Resposta “null” ou um monte de dados JSON: Isso significa que o banco de dados é público e você pelo menos tem acesso de leitura.
Nesse caso, você poderia verificar os privilégios de escrita, um exploit para testar os privilégios de escrita pode ser encontrado aqui: https://github.com/MuhammadKhizerJaved/Insecure-Firebase-Exploit

Nota interessante: Ao analisar um aplicativo móvel com MobSF, se ele encontrar um banco de dados firebase, verificará se este está disponível publicamente e notificará.

Alternativamente, você pode usar Firebase Scanner, um script em python que automatiza a tarefa acima, como mostrado abaixo:

python FirebaseScanner.py -f <commaSeperatedFirebaseProjectNames>

Authenticated Enum

Se você tiver credenciais para acessar o banco de dados do Firebase, pode usar uma ferramenta como Baserunner para acessar mais facilmente as informações armazenadas. Ou um script como o seguinte:

#Taken from https://blog.assetnote.io/bug-bounty/2020/02/01/expanding-attack-surface-react-native/
#Install pyrebase: pip install pyrebase4
import pyrebase

config = {
"apiKey": "FIREBASE_API_KEY",
"authDomain": "FIREBASE_AUTH_DOMAIN_ID.firebaseapp.com",
"databaseURL": "https://FIREBASE_AUTH_DOMAIN_ID.firebaseio.com",
"storageBucket": "FIREBASE_AUTH_DOMAIN_ID.appspot.com",
}

firebase = pyrebase.initialize_app(config)

db = firebase.database()

print(db.get())

Para testar outras ações no banco de dados, como escrever no banco de dados, consulte a documentação do Pyrebase4 que pode ser encontrada aqui.

Acessar informações com APPID e API Key

Se você descompilar o aplicativo iOS e abrir o arquivo GoogleService-Info.plist e encontrar a API Key e o APP ID:

API KEY AIzaSyAs1[...]
APP ID 1:612345678909:ios:c212345678909876

Você pode ser capaz de acessar algumas informações interessantes

Requisição

curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'

Referências

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

PreviousGCP - Filestore Enum NextGCP - Firestore Enum

Last updated 3 days ago