Local Cloud Storage
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Zugang heute erhalten:
OneDrive
In Windows finden Sie den OneDrive-Ordner in \Users\<username>\AppData\Local\Microsoft\OneDrive
. Und im Inneren von logs\Personal
ist es möglich, die Datei SyncDiagnostics.log
zu finden, die einige interessante Daten zu den synchronisierten Dateien enthält:
Größe in Bytes
Erstellungsdatum
Änderungsdatum
Anzahl der Dateien in der Cloud
Anzahl der Dateien im Ordner
CID: Eindeutige ID des OneDrive-Benutzers
Zeit der Berichtserstellung
Größe der HD des Betriebssystems
Sobald Sie die CID gefunden haben, wird empfohlen, nach Dateien zu suchen, die diese ID enthalten. Möglicherweise finden Sie Dateien mit den Namen: <CID>.ini und <CID>.dat, die interessante Informationen wie die Namen der mit OneDrive synchronisierten Dateien enthalten können.
Google Drive
In Windows finden Sie den Hauptordner von Google Drive in \Users\<username>\AppData\Local\Google\Drive\user_default
Dieser Ordner enthält eine Datei namens Sync_log.log mit Informationen wie der E-Mail-Adresse des Kontos, Dateinamen, Zeitstempeln, MD5-Hashes der Dateien usw. Selbst gelöschte Dateien erscheinen in dieser Protokolldatei mit dem entsprechenden MD5.
Die Datei Cloud_graph\Cloud_graph.db
ist eine SQLite-Datenbank, die die Tabelle cloud_graph_entry
enthält. In dieser Tabelle finden Sie den Namen der synchronisierten Dateien, die Änderungszeit, Größe und die MD5-Prüfziffer der Dateien.
Die Tabellendaten der Datenbank Sync_config.db
enthalten die E-Mail-Adresse des Kontos, den Pfad der freigegebenen Ordner und die Google Drive-Version.
Dropbox
Dropbox verwendet SQLite-Datenbanken, um die Dateien zu verwalten. In diesem Sie finden die Datenbanken in den Ordnern:
\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox
Und die Hauptdatenbanken sind:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
Die ".dbx"-Erweiterung bedeutet, dass die Datenbanken verschlüsselt sind. Dropbox verwendet DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Um die Verschlüsselung, die Dropbox verwendet, besser zu verstehen, können Sie https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html lesen.
Die wichtigsten Informationen sind jedoch:
Entropie: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algorithmus: PBKDF2
Iterationen: 1066
Neben diesen Informationen benötigen Sie zur Entschlüsselung der Datenbanken auch:
Den verschlüsselten DPAPI-Schlüssel: Sie finden ihn in der Registrierung unter
NTUSER.DAT\Software\Dropbox\ks\client
(exportieren Sie diese Daten als Binärdatei)Die
SYSTEM
- undSECURITY
-HivesDie DPAPI-Master-Schlüssel: Diese finden Sie in
\Users\<username>\AppData\Roaming\Microsoft\Protect
Den Benutzernamen und das Passwort des Windows-Benutzers
Dann können Sie das Tool DataProtectionDecryptor:
Wenn alles wie erwartet verläuft, zeigt das Tool den primären Schlüssel an, den Sie verwenden müssen, um den ursprünglichen wiederherzustellen. Um den ursprünglichen wiederherzustellen, verwenden Sie einfach dieses cyber_chef-Rezept, wobei der primäre Schlüssel als "Passphrase" im Rezept eingegeben wird.
Das resultierende Hex ist der endgültige Schlüssel, der zur Verschlüsselung der Datenbanken verwendet wird, die entschlüsselt werden können mit:
Die config.dbx
Datenbank enthält:
Email: Die E-Mail des Benutzers
usernamedisplayname: Der Name des Benutzers
dropbox_path: Pfad, wo der Dropbox-Ordner gespeichert ist
Host_id: Hash verwendet zur Authentifizierung in der Cloud. Dies kann nur über das Web widerrufen werden.
Root_ns: Benutzeridentifikator
Die filecache.db
Datenbank enthält Informationen über alle Dateien und Ordner, die mit Dropbox synchronisiert sind. Die Tabelle File_journal
enthält die nützlichsten Informationen:
Server_path: Pfad, wo die Datei auf dem Server gespeichert ist (dieser Pfad wird durch die
host_id
des Clients vorangestellt).local_sjid: Version der Datei
local_mtime: Änderungsdatum
local_ctime: Erstellungsdatum
Andere Tabellen in dieser Datenbank enthalten interessantere Informationen:
block_cache: Hash aller Dateien und Ordner von Dropbox
block_ref: Verknüpft die Hash-ID der Tabelle
block_cache
mit der Datei-ID in der Tabellefile_journal
mount_table: Freigegebene Ordner von Dropbox
deleted_fields: Gelöschte Dateien von Dropbox
date_added
Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Zugang heute erhalten:
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated