Local Cloud Storage
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Trickestを使用して、世界で最も高度なコミュニティツールによって駆動されるワークフローを簡単に構築し、自動化します。 今すぐアクセスを取得:
OneDrive
Windowsでは、OneDriveフォルダーは \Users\<username>\AppData\Local\Microsoft\OneDrive にあります。そして logs\Personal 内には、同期されたファイルに関する興味深いデータを含む SyncDiagnostics.log というファイルがあります:
バイト単位のサイズ
作成日
修正日
クラウド内のファイル数
フォルダー内のファイル数
CID: OneDriveユーザーのユニークID
レポート生成時間
OSのHDのサイズ
CIDを見つけたら、このIDを含むファイルを検索することをお勧めします。<CID>.ini や <CID>.dat という名前のファイルが見つかるかもしれません。これらのファイルには、OneDriveと同期されたファイルの名前などの興味深い情報が含まれている可能性があります。
Google Drive
Windowsでは、主要なGoogle Driveフォルダーは \Users\<username>\AppData\Local\Google\Drive\user_default にあります。
このフォルダーには、アカウントのメールアドレス、ファイル名、タイムスタンプ、ファイルのMD5ハッシュなどの情報を含む Sync_log.log というファイルがあります。削除されたファイルも、そのログファイルに対応するMD5と共に表示されます。
ファイル Cloud_graph\Cloud_graph.db はsqliteデータベースで、cloud_graph_entry というテーブルが含まれています。このテーブルには、同期された ファイルの名前、修正時間、サイズ、ファイルのMD5チェックサムが含まれています。
データベース Sync_config.db のテーブルデータには、アカウントのメールアドレス、共有フォルダーのパス、Google Driveのバージョンが含まれています。
Dropbox
DropboxはSQLiteデータベースを使用してファイルを管理します。この データベースは以下のフォルダーにあります:
\Users\<username>\AppData\Local\Dropbox\Users\<username>\AppData\Local\Dropbox\Instance1\Users\<username>\AppData\Roaming\Dropbox
主要なデータベースは次のとおりです:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
".dbx"拡張子は、データベースが暗号化されていることを意味します。DropboxはDPAPIを使用しています(https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Dropboxが使用している暗号化をよりよく理解するには、https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.htmlを読むことができます。
しかし、主な情報は次のとおりです:
エントロピー: d114a55212655f74bd772e37e64aee9b
ソルト: 0D638C092E8B82FC452883F95F355B8E
アルゴリズム: PBKDF2
イテレーション: 1066
その情報に加えて、データベースを復号化するには、次のものが必要です:
暗号化されたDPAPIキー: レジストリ内の
NTUSER.DAT\Software\Dropbox\ks\clientで見つけることができます(このデータをバイナリとしてエクスポート)SYSTEMおよびSECURITYハイブDPAPIマスタキー:
\Users\<username>\AppData\Roaming\Microsoft\ProtectにありますWindowsユーザーのユーザー名とパスワード
その後、DataProtectionDecryptorを使用できます:
すべてが期待通りに進めば、ツールは元のものを復元するために使用する必要がある主キーを示します。元のものを復元するには、このcyber_chefレシピを使用し、主キーをレシピ内の「パスフレーズ」として入力します。
結果の16進数は、データベースを暗号化するために使用される最終キーであり、復号化できます:
The config.dbx データベースには以下が含まれています:
Email: ユーザーのメールアドレス
usernamedisplayname: ユーザーの名前
dropbox_path: Dropboxフォルダがあるパス
Host_id: Hash: クラウドへの認証に使用されるハッシュ。このハッシュはウェブからのみ取り消すことができます。
Root_ns: ユーザー識別子
filecache.db データベースには、Dropboxと同期されたすべてのファイルとフォルダに関する情報が含まれています。File_journal テーブルが最も有用な情報を持っています:
Server_path: サーバー内のファイルがあるパス(このパスはクライアントの
host_idによって前置されます)。local_sjid: ファイルのバージョン
local_mtime: 修正日
local_ctime: 作成日
このデータベース内の他のテーブルには、さらに興味深い情報が含まれています:
block_cache: Dropboxのすべてのファイルとフォルダのハッシュ
block_ref:
block_cacheテーブルのハッシュIDとfile_journalテーブルのファイルIDを関連付けるmount_table: Dropboxの共有フォルダ
deleted_fields: Dropboxで削除されたファイル
date_added
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。 今すぐアクセスを取得:
