Local Cloud Storage
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Ekip Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Ekip Uzmanı (GRTE)
Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla iş akışlarını kolayca oluşturun ve otomatikleştirin. Bugün Erişim Alın:
Windows'ta, OneDrive klasörünü \Users\<username>\AppData\Local\Microsoft\OneDrive
içinde bulabilirsiniz. Ve logs\Personal
içinde, senkronize edilmiş dosyalarla ilgili bazı ilginç verileri içeren SyncDiagnostics.log
dosyasını bulmak mümkündür:
Boyut (bayt cinsinden)
Oluşturulma tarihi
Değiştirilme tarihi
Bulutta bulunan dosya sayısı
Klasörde bulunan dosya sayısı
CID: OneDrive kullanıcısının benzersiz kimliği
Rapor oluşturma zamanı
İşletim sisteminin HD boyutu
CID'yi bulduktan sonra, bu kimliği içeren dosyaları aramanız önerilir. OneDrive ile senkronize edilmiş dosyaların adlarını içerebilecek <CID>.ini ve <CID>.dat adında dosyalar bulabilirsiniz.
Windows'ta, ana Google Drive klasörünü \Users\<username>\AppData\Local\Google\Drive\user_default
içinde bulabilirsiniz.
Bu klasör, hesap e-posta adresi, dosya adları, zaman damgaları, dosyaların MD5 hash'leri gibi bilgileri içeren Sync_log.log adında bir dosya içerir. Silinmiş dosyalar bile bu log dosyasında ilgili MD5 ile görünmektedir.
Cloud_graph\Cloud_graph.db
dosyası, cloud_graph_entry
tablosunu içeren bir sqlite veritabanıdır. Bu tabloda, senkronize dosyaların adını, değiştirilme zamanını, boyutunu ve dosyaların MD5 kontrol toplamını bulabilirsiniz.
Sync_config.db
veritabanının tablo verileri, hesap e-posta adresini, paylaşılan klasörlerin yolunu ve Google Drive sürümünü içerir.
Dropbox, dosyaları yönetmek için SQLite veritabanları kullanır. Bu Veritabanlarını şu klasörlerde bulabilirsiniz:
\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox
Ve ana veritabanları şunlardır:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
".dbx" uzantısı, veritabanlarının şifreli olduğunu gösterir. Dropbox, DPAPI kullanır (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Dropbox'un kullandığı şifrelemeyi daha iyi anlamak için https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html adresini okuyabilirsiniz.
Ancak, ana bilgiler şunlardır:
Entropy: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algoritma: PBKDF2
İterasyonlar: 1066
Bu bilgilere ek olarak, veritabanlarını şifrelerini çözmek için hala şunlara ihtiyacınız var:
şifreli DPAPI anahtarı: Bunu NTUSER.DAT\Software\Dropbox\ks\client
içinde kayıt defterinde bulabilirsiniz (bu veriyi ikili olarak dışa aktarın)
SYSTEM
ve SECURITY
hives
DPAPI anahtarları: \Users\<username>\AppData\Roaming\Microsoft\Protect
içinde bulunabilir
Windows kullanıcısının kullanıcı adı ve şifresi
Sonra DataProtectionDecryptor** aracını kullanabilirsiniz:**
Her şey beklendiği gibi giderse, araç, orijinalini kurtarmak için kullanmanız gereken anahtar'ı gösterecektir. Orijinalini kurtarmak için, bu cyber_chef tarifi kullanarak anahtarı "şifre" olarak tarifin içine koyun.
Elde edilen hex, veritabanlarını şifrelemek için kullanılan son anahtardır ve şu şekilde şifresi çözülebilir:
The config.dbx
veritabanı şunları içerir:
Email: Kullanıcının e-posta adresi
usernamedisplayname: Kullanıcının adı
dropbox_path: Dropbox klasörünün bulunduğu yol
Host_id: Hash buluta kimlik doğrulamak için kullanılır. Bu yalnızca web üzerinden iptal edilebilir.
Root_ns: Kullanıcı tanımlayıcısı
The filecache.db
veritabanı, Dropbox ile senkronize edilen tüm dosyalar ve klasörler hakkında bilgi içerir. File_journal
tablosu daha fazla yararlı bilgiye sahiptir:
Server_path: Dosyanın sunucu içindeki bulunduğu yol (bu yol, istemcinin host_id
ile önceden gelir).
local_sjid: Dosyanın versiyonu
local_mtime: Değiştirilme tarihi
local_ctime: Oluşturulma tarihi
Bu veritabanındaki diğer tablolar daha ilginç bilgiler içerir:
block_cache: Dropbox'ın tüm dosya ve klasörlerinin hash'i
block_ref: block_cache
tablosundaki hash ID'sini file_journal
tablosundaki dosya ID'si ile ilişkilendirir
mount_table: Dropbox'ın paylaşılan klasörleri
deleted_fields: Dropbox'tan silinmiş dosyalar
date_added
Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)