Local Cloud Storage

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Gebruik Trickest om maklik te bou en werkvloei te outomatiseer wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:

Automate OffSec, EASM, and Custom Security Processes | Trickest

OneDrive

In Windows kan jy die OneDrive-gids vind in \Users\<username>\AppData\Local\Microsoft\OneDrive. En binne logs\Personal is dit moontlik om die lêer SyncDiagnostics.log te vind wat interessante data bevat rakende die gesinkroniseerde lêers:

Grootte in bytes
Skeppingsdatum
Wysigingsdatum
Aantal lêers in die wolk
Aantal lêers in die gids
CID: Unieke ID van die OneDrive-gebruiker
Verslaggenerasietyd
Grootte van die HD van die OS

Sodra jy die CID gevind het, word dit aanbeveel om lêers te soek wat hierdie ID bevat. Jy mag dalk lêers met die naam: <CID>.ini en <CID>.dat vind wat interessante inligting kan bevat soos die name van lêers wat met OneDrive gesinkroniseer is.

Google Drive

In Windows kan jy die hoof Google Drive-gids vind in \Users\<username>\AppData\Local\Google\Drive\user_default Hierdie gids bevat 'n lêer genaamd Sync_log.log met inligting soos die e-posadres van die rekening, lêernames, tydstempels, MD5-hashes van die lêers, ens. Selfs verwyderde lêers verskyn in daardie loglêer met die ooreenstemmende MD5.

Die lêer Cloud_graph\Cloud_graph.db is 'n sqlite-databasis wat die tabel cloud_graph_entry bevat. In hierdie tabel kan jy die naam van die gesinkroniseerde lêers, gewysigde tyd, grootte, en die MD5 kontrole som van die lêers vind.

Die tabeldata van die databasis Sync_config.db bevat die e-posadres van die rekening, die pad van die gedeelde gidsen en die Google Drive weergawe.

Dropbox

Dropbox gebruik SQLite-databasisse om die lêers te bestuur. In hierdie Jy kan die databasisse in die gidsen vind:

\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox

En die hoofdatabasisse is:

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

Die ".dbx" uitbreiding beteken dat die databasisse versleuteld is. Dropbox gebruik DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Om beter te verstaan die versleuteling wat Dropbox gebruik, kan jy lees https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.

Tog, die hoofinligting is:

Entropie: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algoritme: PBKDF2
Herhalings: 1066

Afgesien van daardie inligting, om die databasisse te ontsleutel het jy steeds nodig:

Die versleutelde DPAPI-sleutel: Jy kan dit in die register vind binne NTUSER.DAT\Software\Dropbox\ks\client (voer hierdie data as binêr uit)
Die SYSTEM en SECURITY hives
Die DPAPI meester sleutels: Wat in \Users\<username>\AppData\Roaming\Microsoft\Protect gevind kan word
Die gebruikersnaam en wagwoord van die Windows-gebruiker

Dan kan jy die hulpmiddel DataProtectionDecryptor:

As alles volgens verwagting verloop, sal die hulpmiddel die primêre sleutel aandui wat jy moet gebruik om die oorspronklike een te herstel. Om die oorspronklike een te herstel, gebruik net hierdie cyber_chef resep en plaas die primêre sleutel as die "wagwoord" binne die resep.

Die resulterende hex is die finale sleutel wat gebruik word om die databasisse te versleutel wat ontsleuteld kan word met:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

The config.dbx databasis bevat:

E-pos: Die e-pos van die gebruiker
usernamedisplayname: Die naam van die gebruiker
dropbox_path: Pad waar die dropbox-gids geleë is
Host_id: Hash wat gebruik word om aan die wolk te autentiseer. Dit kan slegs vanaf die web herroep word.
Root_ns: Gebruiker identifiseerder

Die filecache.db databasis bevat inligting oor al die lêers en gidse wat met Dropbox gesinkroniseer is. Die tabel File_journal is die een met die meeste nuttige inligting:

Server_path: Pad waar die lêer binne die bediener geleë is (hierdie pad word voorafgegaan deur die host_id van die kliënt).
local_sjid: Weergawe van die lêer
local_mtime: Wysigingsdatum
local_ctime: Skeppingsdatum

Ander tabelle binne hierdie databasis bevat meer interessante inligting:

block_cache: hash van al die lêers en gidse van Dropbox
block_ref: Verbind die hash ID van die tabel block_cache met die lêer ID in die tabel file_journal
mount_table: Deel gidse van dropbox
deleted_fields: Dropbox verwyderde lêers
date_added

Gebruik Trickest om maklik te bou en werkvloei te automate wat deur die wêreld se meest gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousDeofuscation vbs (cscript.exe)NextOffice file analysis

Last updated 1 month ago