FirebaseExploiter 使用指南：扫描和发现Firebase数据库安全漏洞

一、工具概述

FirebaseExploiter 是一款专门用于扫描和发现 Firebase 数据库安全漏洞的工具，主要面向漏洞猎人和渗透测试人员。该工具能够帮助安全研究人员识别 Firebase 数据库中存在的可利用安全问题。

二、主要功能

1. 大规模扫描：支持对目标主机列表执行批量漏洞扫描
2. 自定义数据上传：允许通过 exploit.json 文件自定义 JSON 数据并在漏洞利用过程中上传
3. 路径自定义：支持在漏洞利用过程中指定自定义 URI 路径
4. 漏洞验证：提供功能验证漏洞利用是否成功

三、环境准备

安装要求

• Go 语言环境 v1.19 或更高版本

安装步骤

go install -v github.com/securebinary/firebaseExploiter@latest

四、使用教程

1. 查看帮助信息

运行以下命令查看工具支持的所有参数选项：

firebaseExploiter -h

2. 基本扫描

扫描指定域名并检测不安全的 Firebase 数据库：

firebaseExploiter -u https://target.firebaseio.com

3. 漏洞利用

利用 Firebase 数据库漏洞并写入自定义 JSON 文档：

1. 首先创建 exploit.json 文件，确保格式正确的 JSON 数据
2. 执行漏洞利用：

firebaseExploiter -u https://target.firebaseio.com -f exploit.json

4. 漏洞验证

检查漏洞利用 URL 并验证漏洞：

firebaseExploiter -u https://target.firebaseio.com -c

5. 自定义路径利用

针对目标 Firebase 数据库添加自定义路径：

firebaseExploiter -u https://target.firebaseio.com -p "custom/path"

6. 批量扫描

针对文件列表中的多个目标主机扫描不安全的 Firebase 数据库：

firebaseExploiter -l targets.txt

7. 批量利用

利用列表文件中所有主机的 Firebase 数据库漏洞：

firebaseExploiter -l targets.txt -f exploit.json

五、注意事项

1. 合法授权：使用前确保已获得目标系统的测试授权
2. 数据备份：漏洞利用操作可能会修改数据库内容，建议先备份
3. 格式验证：自定义 JSON 文件必须格式正确，否则可能导致操作失败
4. 结果验证：利用后应手动验证数据库变更以确保操作成功

六、许可证

FirebaseExploiter 采用 MIT 开源许可证发布。

七、项目地址

GitHub 仓库: github.com/securebinary/firebaseExploiter

八、相关安全领域

#数据库安全 #漏洞扫描 #漏洞利用 #Firebase