Local Cloud Storage
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Χρησιμοποιήστε Trickest για να δημιουργήσετε και να αυτοματοποιήσετε ροές εργασίας με τη βοήθεια των πιο προηγμένων εργαλείων της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Στα Windows, μπορείτε να βρείτε τον φάκελο OneDrive στο \Users\<username>\AppData\Local\Microsoft\OneDrive
. Και μέσα στο logs\Personal
είναι δυνατόν να βρείτε το αρχείο SyncDiagnostics.log
το οποίο περιέχει ορισμένα ενδιαφέροντα δεδομένα σχετικά με τα συγχρονισμένα αρχεία:
Μέγεθος σε bytes
Ημερομηνία δημιουργίας
Ημερομηνία τροποποίησης
Αριθμός αρχείων στο cloud
Αριθμός αρχείων στον φάκελο
CID: Μοναδικό ID του χρήστη OneDrive
Χρόνος δημιουργίας αναφοράς
Μέγεθος του HD του OS
Αφού βρείτε το CID, συνιστάται να αναζητήσετε αρχεία που περιέχουν αυτό το ID. Μπορείτε να βρείτε αρχεία με το όνομα: <CID>.ini και <CID>.dat που μπορεί να περιέχουν ενδιαφέρουσες πληροφορίες όπως τα ονόματα των αρχείων που συγχρονίστηκαν με το OneDrive.
Στα Windows, μπορείτε να βρείτε τον κύριο φάκελο Google Drive στο \Users\<username>\AppData\Local\Google\Drive\user_default
Αυτός ο φάκελος περιέχει ένα αρχείο που ονομάζεται Sync_log.log με πληροφορίες όπως τη διεύθυνση email του λογαριασμού, ονόματα αρχείων, χρονικές σφραγίδες, MD5 hashes των αρχείων, κ.λπ. Ακόμα και τα διαγραμμένα αρχεία εμφανίζονται σε αυτό το αρχείο καταγραφής με το αντίστοιχο MD5.
Το αρχείο Cloud_graph\Cloud_graph.db
είναι μια βάση δεδομένων sqlite που περιέχει τον πίνακα cloud_graph_entry
. Σε αυτόν τον πίνακα μπορείτε να βρείτε το όνομα των συγχρονισμένων αρχείων, τον χρόνο τροποποίησης, το μέγεθος και το MD5 checksum των αρχείων.
Τα δεδομένα του πίνακα της βάσης δεδομένων Sync_config.db
περιέχουν τη διεύθυνση email του λογαριασμού, τη διαδρομή των κοινών φακέλων και την έκδοση του Google Drive.
Το Dropbox χρησιμοποιεί βάσεις δεδομένων SQLite για να διαχειρίζεται τα αρχεία. Σε αυτό Μπορείτε να βρείτε τις βάσεις δεδομένων στους φακέλους:
\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox
Και οι κύριες βάσεις δεδομένων είναι:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
Η επέκταση ".dbx" σημαίνει ότι οι βάσεις δεδομένων είναι κρυπτογραφημένες. Το Dropbox χρησιμοποιεί DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Για να κατανοήσετε καλύτερα την κρυπτογράφηση που χρησιμοποιεί το Dropbox, μπορείτε να διαβάσετε https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Ωστόσο, οι κύριες πληροφορίες είναι:
Entropy: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algorithm: PBKDF2
Iterations: 1066
Εκτός από αυτές τις πληροφορίες, για να αποκρυπτογραφήσετε τις βάσεις δεδομένων χρειάζεστε επίσης:
Το κρυπτογραφημένο κλειδί DPAPI: Μπορείτε να το βρείτε στο μητρώο μέσα στο NTUSER.DAT\Software\Dropbox\ks\client
(εξάγετε αυτά τα δεδομένα ως δυαδικά)
Τις hives SYSTEM
και SECURITY
Τα master keys DPAPI: Τα οποία μπορούν να βρεθούν στο \Users\<username>\AppData\Roaming\Microsoft\Protect
Το όνομα χρήστη και κωδικό πρόσβασης του χρήστη Windows
Στη συνέχεια, μπορείτε να χρησιμοποιήσετε το εργαλείο DataProtectionDecryptor:
Αν όλα πάνε όπως αναμένεται, το εργαλείο θα υποδείξει το κύριο κλειδί που χρειάζεστε για να ανακτήσετε το αρχικό. Για να ανακτήσετε το αρχικό, απλώς χρησιμοποιήστε αυτή τη συνταγή cyber_chef βάζοντας το κύριο κλειδί ως "passphrase" μέσα στη συνταγή.
Το προκύπτον hex είναι το τελικό κλειδί που χρησιμοποιείται για την κρυπτογράφηση των βάσεων δεδομένων που μπορεί να αποκρυπτογραφηθεί με:
The config.dbx
database contains:
Email: Η διεύθυνση email του χρήστη
usernamedisplayname: Το όνομα του χρήστη
dropbox_path: Διαδρομή όπου βρίσκεται ο φάκελος dropbox
Host_id: Hash που χρησιμοποιείται για την αυθεντικοποίηση στο cloud. Αυτό μπορεί να ανακληθεί μόνο από το διαδίκτυο.
Root_ns: Αναγνωριστικό χρήστη
The filecache.db
database contains information about all the files and folders synchronized with Dropbox. The table File_journal
is the one with more useful information:
Server_path: Διαδρομή όπου βρίσκεται το αρχείο μέσα στον διακομιστή (αυτή η διαδρομή προηγείται από το host_id
του πελάτη).
local_sjid: Έκδοση του αρχείου
local_mtime: Ημερομηνία τροποποίησης
local_ctime: Ημερομηνία δημιουργίας
Other tables inside this database contain more interesting information:
block_cache: hash όλων των αρχείων και φακέλων του Dropbox
block_ref: Σχετίζει το hash ID του πίνακα block_cache
με το ID του αρχείου στον πίνακα file_journal
mount_table: Κοινόχρηστοι φάκελοι του dropbox
deleted_fields: Διαγραμμένα αρχεία του Dropbox
date_added
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)