Local Cloud Storage
Last updated
Last updated
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Tumia Trickest kujenga na kujiendesha kwa urahisi kwa kutumia zana za jamii zilizoendelea zaidi duniani. Pata Ufikiaji Leo:
Katika Windows, unaweza kupata folda ya OneDrive katika \Users\<username>\AppData\Local\Microsoft\OneDrive
. Na ndani ya logs\Personal
inawezekana kupata faili SyncDiagnostics.log
ambayo ina data za kuvutia kuhusu faili zilizohusishwa:
Ukubwa kwa bytes
Tarehe ya kuundwa
Tarehe ya mabadiliko
Idadi ya faili katika wingu
Idadi ya faili katika folda
CID: Kitambulisho cha kipekee cha mtumiaji wa OneDrive
Wakati wa kuzalisha ripoti
Ukubwa wa HD wa OS
Mara tu unapopata CID inashauriwa kutafuta faili zinazohusisha ID hii. Unaweza kupata faili zenye jina: <CID>.ini na <CID>.dat ambazo zinaweza kuwa na taarifa za kuvutia kama majina ya faili zilizohusishwa na OneDrive.
Katika Windows, unaweza kupata folda kuu ya Google Drive katika \Users\<username>\AppData\Local\Google\Drive\user_default
Folda hii ina faili inayoitwa Sync_log.log yenye taarifa kama anwani ya barua pepe ya akaunti, majina ya faili, alama za wakati, MD5 hashes za faili, nk. Hata faili zilizofutwa zinaonekana katika faili hiyo ya logi na MD5 inayohusiana.
Faili Cloud_graph\Cloud_graph.db
ni database ya sqlite ambayo ina jedwali cloud_graph_entry
. Katika jedwali hili unaweza kupata jina la faili zilizohusishwa, wakati wa mabadiliko, ukubwa, na MD5 checksum za faili.
Data za jedwali la database Sync_config.db
zina anwani ya barua pepe ya akaunti, njia za folda zilizoshirikiwa na toleo la Google Drive.
Dropbox hutumia databases za SQLite kusimamia faili. Katika hii Unaweza kupata databases katika folda:
\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox
Na databases kuu ni:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
Kiambatisho ".dbx" kinamaanisha kwamba databases zime siri. Dropbox hutumia DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Ili kuelewa vizuri zaidi usimbuaji ambao Dropbox hutumia unaweza kusoma https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Hata hivyo, taarifa kuu ni:
Entropy: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algorithm: PBKDF2
Iterations: 1066
Mbali na taarifa hiyo, ili kufungua databases bado unahitaji:
funguo ya DPAPI iliyosimbwa: Unaweza kuipata katika rejista ndani ya NTUSER.DAT\Software\Dropbox\ks\client
(safisha data hii kama binary)
SYSTEM
na SECURITY
hives
funguo kuu za DPAPI: Ambazo zinaweza kupatikana katika \Users\<username>\AppData\Roaming\Microsoft\Protect
jina la mtumiaji na nenosiri la mtumiaji wa Windows
Kisha unaweza kutumia chombo DataProtectionDecryptor:
Ikiwa kila kitu kinaenda kama inavyotarajiwa, chombo kitakuonyesha funguo kuu ambayo unahitaji kutumia ili kurejesha ile ya awali. Ili kurejesha ile ya awali, tumia mapishi haya ya cyber_chef ukitumia funguo kuu kama "passphrase" ndani ya mapishi.
Hex inayotokana ni funguo ya mwisho inayotumika kusimbua databases ambazo zinaweza kufunguliwa na:
The config.dbx
database contains:
Email: Barua pepe ya mtumiaji
usernamedisplayname: Jina la mtumiaji
dropbox_path: Njia ambapo folda ya dropbox iko
Host_id: Hash inayotumika kuthibitisha kwenye wingu. Hii inaweza kufutwa tu kutoka kwenye wavuti.
Root_ns: Kitambulisho cha mtumiaji
The filecache.db
database contains information about all the files and folders synchronized with Dropbox. The table File_journal
is the one with more useful information:
Server_path: Njia ambapo faili iko ndani ya seva (njia hii inatanguliwa na host_id
ya mteja).
local_sjid: Toleo la faili
local_mtime: Tarehe ya mabadiliko
local_ctime: Tarehe ya kuunda
Other tables inside this database contain more interesting information:
block_cache: hash ya faili zote na folda za Dropbox
block_ref: Inahusisha kitambulisho cha hash cha jedwali block_cache
na kitambulisho cha faili katika jedwali file_journal
mount_table: Shiriki folda za dropbox
deleted_fields: Faili zilizofutwa za Dropbox
date_added
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)