Local Cloud Storage

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

OneDrive

Windows में, आप OneDrive फ़ोल्डर को \Users\<username>\AppData\Local\Microsoft\OneDrive में पा सकते हैं। और logs\Personal के अंदर, आप फ़ाइल SyncDiagnostics.log पा सकते हैं जिसमें समन्वयित फ़ाइलों के बारे में कुछ दिलचस्प डेटा होता है:

बाइट्स में आकार
निर्माण तिथि
संशोधन तिथि
क्लाउड में फ़ाइलों की संख्या
फ़ोल्डर में फ़ाइलों की संख्या
CID: OneDrive उपयोगकर्ता का अद्वितीय ID
रिपोर्ट निर्माण समय
OS का HD का आकार

एक बार जब आप CID पा लेते हैं, तो इस ID वाले फ़ाइलों की खोज करना अनुशंसित है। आप <CID>.ini और <CID>.dat नाम की फ़ाइलें पा सकते हैं जो OneDrive के साथ समन्वयित फ़ाइलों के नाम जैसी दिलचस्प जानकारी रख सकती हैं।

Google Drive

Windows में, आप मुख्य Google Drive फ़ोल्डर को \Users\<username>\AppData\Local\Google\Drive\user_default में पा सकते हैं। यह फ़ोल्डर Sync_log.log नामक फ़ाइल को रखता है जिसमें खाते का ईमेल पता, फ़ाइल नाम, टाइमस्टैम्प, फ़ाइलों के MD5 हैश आदि जैसी जानकारी होती है। यहां तक कि हटाई गई फ़ाइलें भी उस लॉग फ़ाइल में अपने संबंधित MD5 के साथ दिखाई देती हैं।

फ़ाइल Cloud_graph\Cloud_graph.db एक sqlite डेटाबेस है जिसमें cloud_graph_entry नामक तालिका होती है। इस तालिका में आप समन्वयित फ़ाइलों का नाम, संशोधित समय, आकार, और फ़ाइलों का MD5 चेकसम पा सकते हैं।

डेटाबेस Sync_config.db की तालिका डेटा में खाते का ईमेल पता, साझा फ़ोल्डरों का पथ और Google Drive का संस्करण होता है।

Dropbox

Dropbox फ़ाइलों को प्रबंधित करने के लिए SQLite डेटाबेस का उपयोग करता है। इसमें आप डेटाबेस को निम्नलिखित फ़ोल्डरों में पा सकते हैं:

\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox

और मुख्य डेटाबेस हैं:

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

".dbx" एक्सटेंशन का अर्थ है कि डेटाबेस एन्क्रिप्टेड हैं। Dropbox DPAPI का उपयोग करता है (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Dropbox द्वारा उपयोग की जाने वाली एन्क्रिप्शन को बेहतर ढंग से समझने के लिए आप पढ़ सकते हैं https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html।

हालांकि, मुख्य जानकारी है:

Entropy: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algorithm: PBKDF2
Iterations: 1066

उस जानकारी के अलावा, डेटाबेस को डिक्रिप्ट करने के लिए आपको अभी भी आवश्यकता है:

एन्क्रिप्टेड DPAPI कुंजी: आप इसे रजिस्ट्री में NTUSER.DAT\Software\Dropbox\ks\client के अंदर पा सकते हैं (इस डेटा को बाइनरी के रूप में निर्यात करें)
SYSTEM और SECURITY हाइव
DPAPI मास्टर कुंजी: जो \Users\<username>\AppData\Roaming\Microsoft\Protect में पाई जा सकती हैं
Windows उपयोगकर्ता का उपयोगकर्ता नाम और पासवर्ड

फिर आप टूल DataProtectionDecryptor** का उपयोग कर सकते हैं:**

यदि सब कुछ अपेक्षित रूप से चलता है, तो टूल आपको प्राथमिक कुंजी बताएगा जिसका आपको मूल कुंजी को पुनर्प्राप्त करने के लिए उपयोग करना है। मूल कुंजी को पुनर्प्राप्त करने के लिए, बस इस cyber_chef रेसिपी का उपयोग करें जिसमें प्राथमिक कुंजी को रेसिपी के "पासफ़्रेज़" के रूप में डालें।

परिणामी हेक्स अंतिम कुंजी है जिसका उपयोग डेटाबेस को एन्क्रिप्ट करने के लिए किया गया है जिसे डिक्रिप्ट किया जा सकता है:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

The config.dbx डेटाबेस में शामिल हैं:

Email: उपयोगकर्ता का ईमेल
usernamedisplayname: उपयोगकर्ता का नाम
dropbox_path: वह पथ जहाँ ड्रॉपबॉक्स फ़ोल्डर स्थित है
Host_id: Hash जो क्लाउड में प्रमाणीकरण के लिए उपयोग किया जाता है। इसे केवल वेब से रद्द किया जा सकता है।
Root_ns: उपयोगकर्ता पहचानकर्ता

The filecache.db डेटाबेस में ड्रॉपबॉक्स के साथ समन्वयित सभी फ़ाइलों और फ़ोल्डरों के बारे में जानकारी होती है। तालिका File_journal वह है जिसमें अधिक उपयोगी जानकारी होती है:

Server_path: वह पथ जहाँ फ़ाइल सर्वर के अंदर स्थित है (यह पथ क्लाइंट के host_id द्वारा पूर्ववर्ती होता है)।
local_sjid: फ़ाइल का संस्करण
local_mtime: संशोधन तिथि
local_ctime: निर्माण तिथि

इस डेटाबेस के अंदर अन्य तालिकाएँ अधिक दिलचस्प जानकारी रखती हैं:

block_cache: ड्रॉपबॉक्स की सभी फ़ाइलों और फ़ोल्डरों का हैश
block_ref: तालिका block_cache के हैश आईडी को तालिका file_journal में फ़ाइल आईडी से संबंधित करता है
mount_table: ड्रॉपबॉक्स के साझा फ़ोल्डर
deleted_fields: ड्रॉपबॉक्स द्वारा हटाई गई फ़ाइलें
date_added

Trickest का उपयोग करें ताकि आप आसानी से वर्कफ़्लो बना और स्वचालित कर सकें जो दुनिया के सबसे उन्नत सामुदायिक उपकरणों द्वारा संचालित हैं। आज ही एक्सेस प्राप्त करें:

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
💬 Discord समूह या टेलीग्राम समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.**
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।

PreviousDeofuscation vbs (cscript.exe)NextOffice file analysis

Last updated 4 months ago