GCP - Firebase Enum

Reading time: 5 minutes

Firebase

La base de données en temps réel Firebase est une base de données NoSQL hébergée dans le cloud qui vous permet de stocker et de synchroniser des données entre vos utilisateurs en temps réel. En savoir plus.

Enum non authentifié

Certains points de terminaison Firebase pourraient être trouvés dans des applications mobiles. Il est possible que le point de terminaison Firebase utilisé soit mal configuré, accordant à tout le monde des privilèges de lecture (et d'écriture).

Voici la méthodologie courante pour rechercher et exploiter des bases de données Firebase mal configurées :

1. Obtenez l'APK de l'application, vous pouvez utiliser n'importe quel outil pour obtenir l'APK de l'appareil pour cette POC.
   Vous pouvez utiliser “APK Extractor” https://play.google.com/store/apps/details?id=com.ext.ui&hl=e
2. Décompilez l'APK en utilisant apktool, suivez la commande ci-dessous pour extraire le code source de l'APK.
3. Allez dans le res/values/strings.xml et recherchez ce mot-clé et cherchez le mot “firebase”
4. Vous pourriez trouver quelque chose comme cette URL “https://xyz.firebaseio.com/”
5. Ensuite, allez dans le navigateur et naviguez vers l'URL trouvée : https://xyz.firebaseio.com/.json
6. 2 types de réponses peuvent apparaître :
7. “Permission Denied” : Cela signifie que vous ne pouvez pas y accéder, donc c'est bien configuré
8. Réponse “null” ou un tas de données JSON : Cela signifie que la base de données est publique et que vous avez au moins un accès en lecture.
9. Dans ce cas, vous pourriez vérifier les privilèges d'écriture, un exploit pour tester les privilèges d'écriture peut être trouvé ici : https://github.com/MuhammadKhizerJaved/Insecure-Firebase-Exploit

Note intéressante : Lors de l'analyse d'une application mobile avec MobSF, si elle trouve une base de données firebase, elle vérifiera si celle-ci est publiquement disponible et le notifiera.

Alternativement, vous pouvez utiliser Firebase Scanner, un script python qui automatise la tâche ci-dessus comme montré ci-dessous :

python FirebaseScanner.py -f <commaSeperatedFirebaseProjectNames>

Enum Authentifié

Si vous avez des identifiants pour accéder à la base de données Firebase, vous pouvez utiliser un outil tel que Baserunner pour accéder plus facilement aux informations stockées. Ou un script comme le suivant :

#Taken from https://blog.assetnote.io/bug-bounty/2020/02/01/expanding-attack-surface-react-native/
#Install pyrebase: pip install pyrebase4
import pyrebase

config = {
"apiKey": "FIREBASE_API_KEY",
"authDomain": "FIREBASE_AUTH_DOMAIN_ID.firebaseapp.com",
"databaseURL": "https://FIREBASE_AUTH_DOMAIN_ID.firebaseio.com",
"storageBucket": "FIREBASE_AUTH_DOMAIN_ID.appspot.com",
}

firebase = pyrebase.initialize_app(config)

db = firebase.database()

print(db.get())

Pour tester d'autres actions sur la base de données, telles que l'écriture dans la base de données, consultez la documentation de Pyrebase4 qui peut être trouvée ici.

Accéder aux informations avec APPID et clé API

Si vous décompilez l'application iOS et ouvrez le fichier GoogleService-Info.plist et que vous trouvez la clé API et l'ID d'application :

• CLÉ API AIzaSyAs1[...]
• ID D'APPLICATION 1:612345678909:ios:c212345678909876

Vous pourriez être en mesure d'accéder à des informations intéressantes

Demande

curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'

Références

• ​https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/​
• ​https://medium.com/@danangtriatmaja/firebase-database-takover-b7929bbb62e1​