Local Cloud Storage
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)
Gebruik Trickest om maklik te bou en werkvloei te outomatiseer wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:
In Windows kan jy die OneDrive-gids vind in \Users\<username>\AppData\Local\Microsoft\OneDrive
. En binne logs\Personal
is dit moontlik om die lêer SyncDiagnostics.log
te vind wat interessante data bevat rakende die gesinkroniseerde lêers:
Grootte in bytes
Skeppingsdatum
Wysigingsdatum
Aantal lêers in die wolk
Aantal lêers in die gids
CID: Unieke ID van die OneDrive gebruiker
Verslaggenerasietyd
Grootte van die HD van die OS
Sodra jy die CID gevind het, word dit aanbeveel om lêers te soek wat hierdie ID bevat. Jy mag dalk lêers met die naam: <CID>.ini en <CID>.dat vind wat interessante inligting kan bevat soos die name van lêers wat met OneDrive gesinkroniseer is.
In Windows kan jy die hoof Google Drive-gids vind in \Users\<username>\AppData\Local\Google\Drive\user_default
Hierdie gids bevat 'n lêer genaamd Sync_log.log met inligting soos die e-posadres van die rekening, lêernames, tydstempels, MD5-hashes van die lêers, ens. Selfs verwyderde lêers verskyn in daardie loglêer met die ooreenstemmende MD5.
Die lêer Cloud_graph\Cloud_graph.db
is 'n sqlite-databasis wat die tabel cloud_graph_entry
bevat. In hierdie tabel kan jy die naam van die gesinkroniseerde lêers, gewysigde tyd, grootte, en die MD5 kontrole som van die lêers vind.
Die tabeldata van die databasis Sync_config.db
bevat die e-posadres van die rekening, die pad van die gedeelde gidse en die Google Drive weergawe.
Dropbox gebruik SQLite-databasisse om die lêers te bestuur. In hierdie Jy kan die databasisse in die gidse vind:
\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox
En die hoofdatabasisse is:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
Die ".dbx" uitbreiding beteken dat die databasisse versleuteld is. Dropbox gebruik DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Om beter te verstaan die versleuteling wat Dropbox gebruik, kan jy lees https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Tog, die hoofinligting is:
Entropie: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algoritme: PBKDF2
Herhalings: 1066
Afgesien van daardie inligting, om die databasisse te ontsleutel, het jy steeds nodig:
Die versleutelde DPAPI-sleutel: Jy kan dit in die register vind binne NTUSER.DAT\Software\Dropbox\ks\client
(voer hierdie data as binêr uit)
Die SYSTEM
en SECURITY
hives
Die DPAPI meester sleutels: Wat in \Users\<username>\AppData\Roaming\Microsoft\Protect
gevind kan word
Die gebruikersnaam en wagwoord van die Windows gebruiker
Dan kan jy die hulpmiddel DataProtectionDecryptor:
As alles volgens verwagting verloop, sal die hulpmiddel die primêre sleutel aandui wat jy moet gebruik om die oorspronklike een te herstel. Om die oorspronklike een te herstel, gebruik net hierdie cyber_chef resep en plaas die primêre sleutel as die "wagwoord" binne die resep.
Die resulterende hex is die finale sleutel wat gebruik word om die databasisse te versleutel wat ontsleuteld kan word met:
The config.dbx
databasis bevat:
Email: Die e-pos van die gebruiker
usernamedisplayname: Die naam van die gebruiker
dropbox_path: Pad waar die dropbox-gids geleë is
Host_id: Hash wat gebruik word om aan die wolk te autentiseer. Dit kan slegs vanaf die web herroep word.
Root_ns: Gebruiker identifiseerder
Die filecache.db
databasis bevat inligting oor al die lêers en gidse wat met Dropbox gesinkroniseer is. Die tabel File_journal
is die een met die meeste nuttige inligting:
Server_path: Pad waar die lêer binne die bediener geleë is (hierdie pad word voorafgegaan deur die host_id
van die kliënt).
local_sjid: Weergawe van die lêer
local_mtime: Wysigingsdatum
local_ctime: Skeppingsdatum
Ander tabelle binne hierdie databasis bevat meer interessante inligting:
block_cache: hash van al die lêers en gidse van Dropbox
block_ref: Verbind die hash ID van die tabel block_cache
met die lêer ID in die tabel file_journal
mount_table: Deel gidse van dropbox
deleted_fields: Dropbox verwyderde lêers
date_added
Gebruik Trickest om maklik te bou en werkvloei te automate wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)