Local Cloud Storage

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS Red Team Expert）！

支持HackTricks的其他方式：

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
探索PEASS家族，我们的独家NFTs收藏品
加入 💬 Discord群 或 电报群 或在Twitter上关注我们 🐦 @hacktricks_live。
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

使用Trickest可以轻松构建和自动化工作流程，使用世界上最先进的社区工具。立即获取访问权限：

Automate OffSec, EASM, and Custom Security Processes | Trickest

OneDrive

在Windows中，您可以在\Users\<username>\AppData\Local\Microsoft\OneDrive找到OneDrive文件夹。在logs\Personal文件夹中，可以找到名为SyncDiagnostics.log的文件，其中包含有关同步文件的一些有趣数据：

字节大小
创建日期
修改日期
云端文件数量
文件夹中的文件数量
CID：OneDrive用户的唯一ID
报告生成时间
操作系统的硬盘大小

一旦找到CID，建议搜索包含此ID的文件。您可能会找到文件名为：<CID>.ini 和 <CID>.dat 的文件，其中可能包含与OneDrive同步的文件的名称等有趣信息。

Google Drive

在Windows中，您可以在\Users\<username>\AppData\Local\Google\Drive\user_default找到主Google Drive文件夹此文件夹包含一个名为Sync_log.log的文件，其中包含帐户的电子邮件地址、文件名、时间戳、文件的MD5哈希等信息。即使已删除的文件也会在该日志文件中显示其相应的MD5。

文件**Cloud_graph\Cloud_graph.db是一个包含表cloud_graph_entry的sqlite数据库。在这个表中，您可以找到同步的文件的名称**、修改时间、大小和文件的MD5校验和。

数据库**Sync_config.db**的表数据包含帐户的电子邮件地址、共享文件夹的路径和Google Drive版本。

Dropbox

Dropbox使用SQLite数据库来管理文件。在这您可以在以下文件夹中找到数据库：

\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox

主要数据库包括：

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

".dbx"扩展名表示数据库是加密的。Dropbox使用DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

要更好地理解Dropbox使用的加密，您可以阅读https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html。

然而，主要信息包括：

熵：d114a55212655f74bd772e37e64aee9b
盐：0D638C092E8B82FC452883F95F355B8E
算法：PBKDF2
迭代次数：1066

除了这些信息，要解密数据库，您还需要：

加密的DPAPI密钥：您可以在注册表中找到，位于NTUSER.DAT\Software\Dropbox\ks\client内（将此数据导出为二进制）
SYSTEM 和 SECURITY 注册表项
DPAPI主密钥：可以在\Users\<username>\AppData\Roaming\Microsoft\Protect中找到
Windows用户的用户名和密码

然后，您可以使用工具DataProtectionDecryptor：

如果一切顺利，该工具将指示您需要使用的主密钥以恢复原始密钥。要恢复原始密钥，只需在此[cyber_chef receipt](https://gchq.github.io/CyberChef/#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D)中将主密钥作为"passphrase"放入。

生成的十六进制即为用于加密数据库的最终密钥，可以使用以下方式解密：

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

config.dbx 数据库包含：

Email：用户的电子邮件
usernamedisplayname：用户的名称
dropbox_path：Dropbox 文件夹的路径
Host_id：用于在云端进行身份验证的哈希。只能从网络中撤销此哈希。
Root_ns：用户标识符

filecache.db 数据库包含与 Dropbox 同步的所有文件和文件夹的信息。表 File_journal 包含最有用的信息：

Server_path：文件在服务器内的路径（此路径前面带有客户端的 host_id）。
local_sjid：文件的版本
local_mtime：修改日期
local_ctime：创建日期

此数据库中的其他表包含更多有趣的信息：

block_cache：Dropbox 所有文件和文件夹的哈希
block_ref：将表 block_cache 中的哈希 ID 与表 file_journal 中的文件 ID 相关联
mount_table：共享 Dropbox 文件夹
deleted_fields：已删除的 Dropbox 文件
date_added

使用 Trickest 可以轻松构建和自动化工作流程，利用世界上最先进的社区工具。立即获取访问权限：

Automate OffSec, EASM, and Custom Security Processes | Trickest

从零开始学习 AWS 黑客技术，成为专家 htARTE（HackTricks AWS 红队专家）！

支持 HackTricks 的其他方式：

如果您想在 HackTricks 中看到您的公司广告或下载 PDF 版本的 HackTricks，请查看订阅计划！
获取官方 PEASS & HackTricks 商品
探索PEASS 家族，我们的独家NFT收藏品
加入 💬 Discord 群组 或 电报群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。

上一页Deofuscation vbs (cscript.exe)下一页Office file analysis

最后更新于2天前