Local Cloud Storage
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
W systemie Windows folder OneDrive można znaleźć w \Users\<username>\AppData\Local\Microsoft\OneDrive. A wewnątrz logs\Personal można znaleźć plik SyncDiagnostics.log, który zawiera interesujące dane dotyczące zsynchronizowanych plików:
Rozmiar w bajtach
Data utworzenia
Data modyfikacji
Liczba plików w chmurze
Liczba plików w folderze
CID: Unikalny identyfikator użytkownika OneDrive
Czas generowania raportu
Rozmiar dysku twardego systemu operacyjnego
Po znalezieniu CID zaleca się wyszukiwanie plików zawierających ten identyfikator. Możesz znaleźć pliki o nazwach: <CID>.ini i <CID>.dat, które mogą zawierać interesujące informacje, takie jak nazwy plików zsynchronizowanych z OneDrive.
W systemie Windows główny folder Google Drive można znaleźć w \Users\<username>\AppData\Local\Google\Drive\user_default
Ten folder zawiera plik o nazwie Sync_log.log z informacjami takimi jak adres e-mail konta, nazwy plików, znaczniki czasu, hashe MD5 plików itp. Nawet usunięte pliki pojawiają się w tym pliku dziennika z odpowiadającym im MD5.
Plik Cloud_graph\Cloud_graph.db to baza danych sqlite, która zawiera tabelę cloud_graph_entry. W tej tabeli można znaleźć nazwy zsynchronizowanych plików, czas modyfikacji, rozmiar i sumę kontrolną MD5 plików.
Dane tabeli bazy danych Sync_config.db zawierają adres e-mail konta, ścieżkę do udostępnionych folderów oraz wersję Google Drive.
Dropbox używa baz danych SQLite do zarządzania plikami. W tym Możesz znaleźć bazy danych w folderach:
\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox
A główne bazy danych to:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
Rozszerzenie ".dbx" oznacza, że bazy danych są szyfrowane. Dropbox używa DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Aby lepiej zrozumieć szyfrowanie, które stosuje Dropbox, możesz przeczytać https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Jednak najważniejsze informacje to:
Entropia: d114a55212655f74bd772e37e64aee9b
Sól: 0D638C092E8B82FC452883F95F355B8E
Algorytm: PBKDF2
Iteracje: 1066
Oprócz tych informacji, aby odszyfrować bazy danych, potrzebujesz jeszcze:
szyfrowanego klucza DPAPI: Możesz go znaleźć w rejestrze w NTUSER.DAT\Software\Dropbox\ks\client (wyeksportuj te dane jako binarne)
hive'ów SYSTEM i SECURITY
głównych kluczy DPAPI: Które można znaleźć w \Users\<username>\AppData\Roaming\Microsoft\Protect
nazwa użytkownika i hasło użytkownika systemu Windows
Następnie możesz użyć narzędzia DataProtectionDecryptor:
Jeśli wszystko pójdzie zgodnie z oczekiwaniami, narzędzie wskaże klucz główny, który musisz użyć do odzyskania oryginalnego. Aby odzyskać oryginalny klucz, wystarczy użyć tego przepisu cyber_chef, wstawiając klucz główny jako "hasło" w przepisie.
Ostateczny hex to klucz końcowy użyty do szyfrowania baz danych, który można odszyfrować za pomocą:
The config.dbx database contains:
Email: Email użytkownika
usernamedisplayname: Nazwa użytkownika
dropbox_path: Ścieżka, w której znajduje się folder dropbox
Host_id: Hash używany do uwierzytelniania w chmurze. Może być odwołany tylko z poziomu sieci.
Root_ns: Identyfikator użytkownika
The filecache.db database contains information about all the files and folders synchronized with Dropbox. The table File_journal is the one with more useful information:
Server_path: Ścieżka, w której znajduje się plik na serwerze (ta ścieżka jest poprzedzona host_id klienta).
local_sjid: Wersja pliku
local_mtime: Data modyfikacji
local_ctime: Data utworzenia
Other tables inside this database contain more interesting information:
block_cache: hash wszystkich plików i folderów Dropbox
block_ref: Powiązanie identyfikatora hash z tabeli block_cache z identyfikatorem pliku w tabeli file_journal
mount_table: Udostępnione foldery Dropbox
deleted_fields: Usunięte pliki Dropbox
date_added
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
