Japanese - Ht

Local Cloud Storage

htARTE(HackTricks AWS Red Team Expert) でAWSハッキングをゼロからヒーローまで学ぶ

HackTricks をサポートする他の方法:

Trickest を使用して、世界で最も先進的なコミュニティツールによって強化された ワークフローを簡単に構築および自動化します。 今すぐアクセスしてください:

OneDrive

Windowsでは、OneDriveフォルダを \Users\<username>\AppData\Local\Microsoft\OneDrive に見つけることができます。そして logs\Personal 内には、同期されたファイルに関する興味深いデータが含まれている SyncDiagnostics.log ファイルを見つけることができます:

  • バイト単位のサイズ

  • 作成日

  • 変更日

  • クラウド内のファイル数

  • フォルダ内のファイル数

  • CID: OneDriveユーザーのユニークID

  • レポート生成時間

  • OSのHDのサイズ

CIDを見つけたら、このIDを含むファイルを検索することが推奨されます。<CID>.ini および <CID>.dat という名前のファイルを見つけることができ、これにはOneDriveと同期されたファイルの名前など、興味深い情報が含まれている可能性があります。

Google Drive

Windowsでは、メインのGoogle Driveフォルダを \Users\<username>\AppData\Local\Google\Drive\user_default に見つけることができます。 このフォルダには、アカウントのメールアドレス、ファイル名、タイムスタンプ、ファイルのMD5ハッシュなどの情報が含まれた Sync_log.log というファイルが含まれています。削除されたファイルも、対応するMD5とともにそのログファイルに表示されます。

ファイル Cloud_graph\Cloud_graph.db は、 cloud_graph_entry というテーブルを含むsqliteデータベースで、このテーブルでは 同期されたファイル名前、変更時間、サイズ、およびファイルのMD5チェックサムを見つけることができます。

データベース Sync_config.db のテーブルデータには、アカウントのメールアドレス、共有フォルダのパス、Google Driveのバージョンが含まれています。

Dropbox

Dropboxはファイルを管理するために SQLiteデータベース を使用しています。 これらのデータベースは次のフォルダにあります:

  • \Users\<username>\AppData\Local\Dropbox

  • \Users\<username>\AppData\Local\Dropbox\Instance1

  • \Users\<username>\AppData\Roaming\Dropbox

そして、主要なデータベースは次のとおりです:

  • Sigstore.dbx

  • Filecache.dbx

  • Deleted.dbx

  • Config.dbx

".dbx" 拡張子は、これらのデータベースが 暗号化 されていることを意味します。Dropboxは DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN) を使用しています。

Dropboxが使用する暗号化をよりよく理解するためには、https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html を読んでください。

ただし、主な情報は次のとおりです:

  • エントロピー: d114a55212655f74bd772e37e64aee9b

  • ソルト: 0D638C092E8B82FC452883F95F355B8E

  • アルゴリズム: PBKDF2

  • 反復回数: 1066

その情報以外に、データベースを復号化するには以下が必要です:

  • 暗号化されたDPAPIキー: これは NTUSER.DAT\Software\Dropbox\ks\client 内のレジストリから見つけることができます(このデータをバイナリとしてエクスポートします)

  • SYSTEM および SECURITY ハイブ

  • DPAPIマスターキー: これは \Users\<username>\AppData\Roaming\Microsoft\Protect に見つけることができます

  • Windowsユーザーの ユーザー名パスワード

その後、DataProtectionDecryptor ツールを使用できます:

すべてが予想通りに進むと、ツールは 元のキーを回復するために使用する主キー を示します。元のキーを回復するには、この [cyber_chefレシピ](https://gchq.github.io/CyberChef/#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D) を使用し、主キーを受け取った "passphrase" として設定します。

結果の16進数は、データベースを復号化するために使用される最終キーであり、次のように復号化できます:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

**config.dbx**データベースには次の情報が含まれています:

  • Email: ユーザーのメールアドレス

  • usernamedisplayname: ユーザーの名前

  • dropbox_path: Dropboxフォルダが配置されているパス

  • Host_id: クラウドへの認証に使用されるハッシュ。これはウェブからのみ取り消すことができます。

  • Root_ns: ユーザー識別子

**filecache.db**データベースには、Dropboxと同期されたすべてのファイルとフォルダに関する情報が含まれています。最も有用な情報を持つテーブルはFile_journalです:

  • Server_path: サーバー内のファイルが配置されているパス(このパスはクライアントのhost_idで先行します)。

  • local_sjid: ファイルのバージョン

  • local_mtime: 修正日

  • local_ctime: 作成日

このデータベース内の他のテーブルには、さらに興味深い情報が含まれています:

  • block_cache: Dropboxのすべてのファイルとフォルダのハッシュ

  • block_ref: テーブルblock_cacheのハッシュIDをテーブルfile_journalのファイルIDに関連付ける

  • mount_table: Dropboxの共有フォルダ

  • deleted_fields: Dropboxで削除されたファイル

  • date_added

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。 今すぐアクセスしてください:

**htARTE(HackTricks AWS Red Team Expert)**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!

HackTricksをサポートする他の方法:HackTricksで企業を宣伝したい、またはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!公式PEASS&HackTricksのグッズを入手してくださいThe PEASS Familyを発見し、独占的なNFTsコレクションをご覧ください💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。

PreviousDeofuscation vbs (cscript.exe)NextOffice file analysis

Last updated