GCP - Firebase Enum

Firebase

Firebase Realtime Database - це хмарна NoSQL база даних, яка дозволяє зберігати та синхронізувати дані між вашими користувачами в реальному часі. Дізнайтеся більше.

Unauthenticated Enum

Деякі Firebase кінцеві точки можуть бути знайдені в мобільних додатках. Можливо, що використана Firebase кінцева точка погано налаштована, надаючи всім привілеї на читання (і запис).

Це загальна методологія для пошуку та експлуатації погано налаштованих Firebase баз даних:

1. Отримайте APK додатку, ви можете використовувати будь-який з інструментів, щоб отримати APK з пристрою для цього POC. Ви можете використовувати “APK Extractor” https://play.google.com/store/apps/details?id=com.ext.ui&hl=e

2. Декомпілюйте APK за допомогою apktool, дотримуйтесь команди нижче, щоб витягти вихідний код з APK.

3. Перейдіть до res/values/strings.xml і шукайте це, а також пошукайте ключове слово “firebase”

4. Ви можете знайти щось на зразок цього URL “https://xyz.firebaseio.com/”

5. Далі перейдіть до браузера і перейдіть за знайденим URL: https://xyz.firebaseio.com/.json

6. Можуть з'явитися 2 типи відповідей:

7. “Permission Denied”: Це означає, що ви не можете отримати доступ, отже, це добре налаштовано

8. “null” відповідь або купа JSON даних: Це означає, що база даних є публічною, і у вас принаймні є доступ на читання.

9. У цьому випадку ви можете перевірити привілеї на запис, експлуатацію для перевірки привілеїв на запис можна знайти тут: https://github.com/MuhammadKhizerJaved/Insecure-Firebase-Exploit

Цікава примітка: При аналізі мобільного додатку за допомогою MobSF, якщо він знаходить базу даних firebase, він перевірить, чи є вона публічно доступною і повідомить про це.

Альтернативно, ви можете використовувати Firebase Scanner, скрипт на python, який автоматизує вищеописане завдання, як показано нижче:

python FirebaseScanner.py -f <commaSeperatedFirebaseProjectNames>

Authenticated Enum

Якщо у вас є облікові дані для доступу до бази даних Firebase, ви можете використовувати інструмент, такий як Baserunner, щоб легше отримати доступ до збереженої інформації. Або скрипт, подібний до наступного:

#Taken from https://blog.assetnote.io/bug-bounty/2020/02/01/expanding-attack-surface-react-native/
import pyrebase

config = {
"apiKey": "FIREBASE_API_KEY",
"authDomain": "FIREBASE_AUTH_DOMAIN_ID.firebaseapp.com",
"databaseURL": "https://FIREBASE_AUTH_DOMAIN_ID.firebaseio.com",
"storageBucket": "FIREBASE_AUTH_DOMAIN_ID.appspot.com",
}

firebase = pyrebase.initialize_app(config)

db = firebase.database()

print(db.get())

Щоб протестувати інші дії з базою даних, такі як запис у базу даних, зверніться до документації Pyrebase, яку можна знайти тут.

Інформація доступу з APPID та API Key

Якщо ви декомпілюєте iOS-додаток і відкриєте файл GoogleService-Info.plist, ви знайдете API Key та APP ID:

• API KEY AIzaSyAs1[...]

• APP ID 1:612345678909:ios:c212345678909876

Ви можете отримати доступ до деякої цікавої інформації

Запит

curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'

Посилання

• ​https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/​

• ​https://medium.com/@danangtriatmaja/firebase-database-takover-b7929bbb62e1​