Local Cloud Storage

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Zugang heute erhalten:

OneDrive

In Windows finden Sie den OneDrive-Ordner in \Users\<username>\AppData\Local\Microsoft\OneDrive. Und im Inneren von logs\Personal ist es möglich, die Datei SyncDiagnostics.log zu finden, die einige interessante Daten zu den synchronisierten Dateien enthält:

  • Größe in Bytes

  • Erstellungsdatum

  • Änderungsdatum

  • Anzahl der Dateien in der Cloud

  • Anzahl der Dateien im Ordner

  • CID: Eindeutige ID des OneDrive-Benutzers

  • Zeit der Berichtserstellung

  • Größe der HD des Betriebssystems

Sobald Sie die CID gefunden haben, wird empfohlen, nach Dateien zu suchen, die diese ID enthalten. Möglicherweise finden Sie Dateien mit den Namen: <CID>.ini und <CID>.dat, die interessante Informationen wie die Namen der mit OneDrive synchronisierten Dateien enthalten können.

Google Drive

In Windows finden Sie den Hauptordner von Google Drive in \Users\<username>\AppData\Local\Google\Drive\user_default Dieser Ordner enthält eine Datei namens Sync_log.log mit Informationen wie der E-Mail-Adresse des Kontos, Dateinamen, Zeitstempeln, MD5-Hashes der Dateien usw. Selbst gelöschte Dateien erscheinen in dieser Protokolldatei mit dem entsprechenden MD5.

Die Datei Cloud_graph\Cloud_graph.db ist eine SQLite-Datenbank, die die Tabelle cloud_graph_entry enthält. In dieser Tabelle finden Sie den Namen der synchronisierten Dateien, die Änderungszeit, Größe und die MD5-Prüfziffer der Dateien.

Die Tabellendaten der Datenbank Sync_config.db enthalten die E-Mail-Adresse des Kontos, den Pfad der freigegebenen Ordner und die Google Drive-Version.

Dropbox

Dropbox verwendet SQLite-Datenbanken, um die Dateien zu verwalten. In diesem Sie finden die Datenbanken in den Ordnern:

  • \Users\<username>\AppData\Local\Dropbox

  • \Users\<username>\AppData\Local\Dropbox\Instance1

  • \Users\<username>\AppData\Roaming\Dropbox

Und die Hauptdatenbanken sind:

  • Sigstore.dbx

  • Filecache.dbx

  • Deleted.dbx

  • Config.dbx

Die ".dbx"-Erweiterung bedeutet, dass die Datenbanken verschlüsselt sind. Dropbox verwendet DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Um die Verschlüsselung, die Dropbox verwendet, besser zu verstehen, können Sie https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html lesen.

Die wichtigsten Informationen sind jedoch:

  • Entropie: d114a55212655f74bd772e37e64aee9b

  • Salt: 0D638C092E8B82FC452883F95F355B8E

  • Algorithmus: PBKDF2

  • Iterationen: 1066

Neben diesen Informationen benötigen Sie zur Entschlüsselung der Datenbanken auch:

  • Den verschlüsselten DPAPI-Schlüssel: Sie finden ihn in der Registrierung unter NTUSER.DAT\Software\Dropbox\ks\client (exportieren Sie diese Daten als Binärdatei)

  • Die SYSTEM- und SECURITY-Hives

  • Die DPAPI-Master-Schlüssel: Diese finden Sie in \Users\<username>\AppData\Roaming\Microsoft\Protect

  • Den Benutzernamen und das Passwort des Windows-Benutzers

Dann können Sie das Tool DataProtectionDecryptor:

Wenn alles wie erwartet verläuft, zeigt das Tool den primären Schlüssel an, den Sie verwenden müssen, um den ursprünglichen wiederherzustellen. Um den ursprünglichen wiederherzustellen, verwenden Sie einfach dieses cyber_chef-Rezept, wobei der primäre Schlüssel als "Passphrase" im Rezept eingegeben wird.

Das resultierende Hex ist der endgültige Schlüssel, der zur Verschlüsselung der Datenbanken verwendet wird, die entschlüsselt werden können mit:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

Die config.dbx Datenbank enthält:

  • Email: Die E-Mail des Benutzers

  • usernamedisplayname: Der Name des Benutzers

  • dropbox_path: Pfad, wo der Dropbox-Ordner gespeichert ist

  • Host_id: Hash verwendet zur Authentifizierung in der Cloud. Dies kann nur über das Web widerrufen werden.

  • Root_ns: Benutzeridentifikator

Die filecache.db Datenbank enthält Informationen über alle Dateien und Ordner, die mit Dropbox synchronisiert sind. Die Tabelle File_journal enthält die nützlichsten Informationen:

  • Server_path: Pfad, wo die Datei auf dem Server gespeichert ist (dieser Pfad wird durch die host_id des Clients vorangestellt).

  • local_sjid: Version der Datei

  • local_mtime: Änderungsdatum

  • local_ctime: Erstellungsdatum

Andere Tabellen in dieser Datenbank enthalten interessantere Informationen:

  • block_cache: Hash aller Dateien und Ordner von Dropbox

  • block_ref: Verknüpft die Hash-ID der Tabelle block_cache mit der Datei-ID in der Tabelle file_journal

  • mount_table: Freigegebene Ordner von Dropbox

  • deleted_fields: Gelöschte Dateien von Dropbox

  • date_added

Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Zugang heute erhalten:

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Last updated