GCP - Firebase Enum

Firebase

La base de données en temps réel Firebase est une base de données NoSQL hébergée dans le cloud qui vous permet de stocker et de synchroniser des données entre vos utilisateurs en temps réel. En savoir plus.

Enumération non authentifiée

Certains points de terminaison Firebase peuvent être trouvés dans des applications mobiles. Il est possible que le point de terminaison Firebase utilisé soit mal configuré, accordant à tout le monde des privilèges de lecture (et d'écriture).

Voici la méthodologie courante pour rechercher et exploiter des bases de données Firebase mal configurées :

1. Obtenez l'APK de l'application, vous pouvez utiliser l'un des outils pour obtenir l'APK à partir de l'appareil pour cette preuve de concept. Vous pouvez utiliser "APK Extractor" https://play.google.com/store/apps/details?id=com.ext.ui&hl=e

2. Décompilez l'APK en utilisant apktool, suivez la commande ci-dessous pour extraire le code source de l'APK.

3. Allez dans le res/values/strings.xml et recherchez ceci et recherchez le mot-clé "firebase"

4. Vous pouvez trouver quelque chose comme cette URL "https://xyz.firebaseio.com/"

5. Ensuite, allez dans le navigateur et accédez à l'URL trouvée : https://xyz.firebaseio.com/.json

6. 2 types de réponses peuvent apparaître :

7. "Permission refusée" : Cela signifie que vous ne pouvez pas y accéder, donc c'est bien configuré

8. Réponse "null" ou un tas de données JSON : Cela signifie que la base de données est publique et que vous avez au moins un accès en lecture.

9. Dans ce cas, vous pourriez vérifier les privilèges d'écriture, une faille pour tester les privilèges d'écriture peut être trouvée ici : https://github.com/MuhammadKhizerJaved/Insecure-Firebase-Exploit

Note intéressante : Lors de l'analyse d'une application mobile avec MobSF, s'il trouve une base de données firebase, il vérifiera si elle est publiquement disponible et le signalera.

Alternativement, vous pouvez utiliser Firebase Scanner, un script python qui automatise la tâche ci-dessus comme indiqué ci-dessous:

python FirebaseScanner.py -f <commaSeperatedFirebaseProjectNames>

Énumération Authentifiée

Si vous avez des identifiants pour accéder à la base de données Firebase, vous pouvez utiliser un outil tel que Baserunner pour accéder plus facilement aux informations stockées. Ou un script comme celui-ci :

#Taken from https://blog.assetnote.io/bug-bounty/2020/02/01/expanding-attack-surface-react-native/
import pyrebase

config = {
"apiKey": "FIREBASE_API_KEY",
"authDomain": "FIREBASE_AUTH_DOMAIN_ID.firebaseapp.com",
"databaseURL": "https://FIREBASE_AUTH_DOMAIN_ID.firebaseio.com",
"storageBucket": "FIREBASE_AUTH_DOMAIN_ID.appspot.com",
}

firebase = pyrebase.initialize_app(config)

db = firebase.database()

print(db.get())

Pour tester d'autres actions sur la base de données, telles que l'écriture dans la base de données, consultez la documentation de Pyrebase qui peut être trouvée ici.

Accéder aux informations avec APPID et la clé API

Si vous décompilez l'application iOS et ouvrez le fichier GoogleService-Info.plist et que vous trouvez la clé API et l'APP ID :

• CLÉ API AIzaSyAs1[...]

• APP ID 1:612345678909:ios:c212345678909876

Vous pourriez accéder à des informations intéressantes

Requête

curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'

Références

• ​https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/​

• ​https://medium.com/@danangtriatmaja/firebase-database-takover-b7929bbb62e1​