Local Cloud Storage

Zacznij od zera i stań się ekspertem od hakowania AWS dzięki htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

Użyj Trickest, aby łatwo tworzyć i automatyzować zadania przy użyciu najbardziej zaawansowanych narzędzi społeczności. Otrzymaj Dostęp Dziś:

Automate OffSec, EASM, and Custom Security Processes | Trickest

OneDrive

W systemie Windows, folder OneDrive znajduje się w \Users\<nazwa_użytkownika>\AppData\Local\Microsoft\OneDrive. Wewnątrz folderu logs\Personal można znaleźć plik SyncDiagnostics.log, który zawiera pewne interesujące dane dotyczące zsynchronizowanych plików:

Rozmiar w bajtach
Data utworzenia
Data modyfikacji
Liczba plików w chmurze
Liczba plików w folderze
CID: Unikalne ID użytkownika OneDrive
Czas generowania raportu
Rozmiar dysku twardego systemu operacyjnego

Gdy już znajdziesz CID, zaleca się wyszukiwanie plików zawierających to ID. Możesz natrafić na pliki o nazwach: <CID>.ini i <CID>.dat, które mogą zawierać interesujące informacje, takie jak nazwy plików zsynchronizowanych z OneDrive.

Google Drive

W systemie Windows, główny folder Google Drive znajduje się w \Users\<nazwa_użytkownika>\AppData\Local\Google\Drive\user_default Ten folder zawiera plik o nazwie Sync_log.log z informacjami, takimi jak adres e-mail konta, nazwy plików, znaczniki czasu, skróty MD5 plików, itp. Nawet usunięte pliki pojawiają się w tym pliku dziennika z odpowiadającymi im skrótami MD5.

Plik Cloud_graph\Cloud_graph.db to baza danych sqlite, która zawiera tabelę cloud_graph_entry. W tej tabeli znajdziesz nazwę zsynchronizowanych plików, czas modyfikacji, rozmiar i sumę kontrolną MD5 plików.

Dane tabeli bazy danych Sync_config.db zawierają adres e-mail konta, ścieżkę folderów udostępnionych i wersję Google Drive.

Dropbox

Dropbox używa baz danych SQLite do zarządzania plikami. W tym Możesz znaleźć bazy danych w folderach:

\Users\<nazwa_użytkownika>\AppData\Local\Dropbox
\Users\<nazwa_użytkownika>\AppData\Local\Dropbox\Instance1
\Users\<nazwa_użytkownika>\AppData\Roaming\Dropbox

A główne bazy danych to:

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

Rozszerzenie ".dbx" oznacza, że bazy danych są zaszyfrowane. Dropbox używa DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Aby lepiej zrozumieć szyfrowanie używane przez Dropbox, możesz przeczytać https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.

Jednak główne informacje to:

Entropia: d114a55212655f74bd772e37e64aee9b
Sól: 0D638C092E8B82FC452883F95F355B8E
Algorytm: PBKDF2
Iteracje: 1066

Oprócz tych informacji, aby odszyfrować bazy danych, potrzebujesz:

Zaszyfrowany klucz DPAPI: Możesz go znaleźć w rejestrze wewnątrz NTUSER.DAT\Software\Dropbox\ks\client (wyeksportuj te dane jako binarne)
Szyfrowane klucze główne DPAPI: Które można znaleźć w \Users\<nazwa_użytkownika>\AppData\Roaming\Microsoft\Protect
Nazwę użytkownika i hasło użytkownika systemu Windows

Następnie możesz użyć narzędzia DataProtectionDecryptor:

Jeśli wszystko pójdzie zgodnie z oczekiwaniami, narzędzie wskaże klucz główny, który musisz użyć do odzyskania oryginalnego. Aby odzyskać oryginalny, po prostu użyj tego przepisu cyber_chef wpisując klucz główny jako "hasło" wewnątrz przepisu.

Otrzymany wynikowy szesnastkowy kod to ostateczny klucz używany do szyfrowania baz danych, które można odszyfrować za pomocą:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

Baza danych config.dbx zawiera:

Email: Adres e-mail użytkownika
usernamedisplayname: Nazwa użytkownika
dropbox_path: Ścieżka, w której znajduje się folder Dropbox
Host_id: Hash używany do uwierzytelniania w chmurze. Można go wycofać tylko z poziomu sieci.
Root_ns: Identyfikator użytkownika

Baza danych filecache.db zawiera informacje o wszystkich plikach i folderach zsynchronizowanych z Dropbox. Tabela File_journal zawiera najbardziej przydatne informacje:

Server_path: Ścieżka, w której znajduje się plik na serwerze (ścieżka ta poprzedzona jest przez host_id klienta).
local_sjid: Wersja pliku
local_mtime: Data modyfikacji
local_ctime: Data utworzenia

Inne tabele w tej bazie danych zawierają bardziej interesujące informacje:

block_cache: skrót wszystkich plików i folderów Dropbox
block_ref: Powiązanie identyfikatora skrótu z tabeli block_cache z identyfikatorem pliku w tabeli file_journal
mount_table: Dzielone foldery Dropbox
deleted_fields: Usunięte pliki Dropbox
date_added

Użyj Trickest, aby łatwo tworzyć i automatyzować zadania przy użyciu najbardziej zaawansowanych narzędzi społeczności na świecie. Otrzymaj dostęp już dziś:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Zacznij od zera i zostań ekspertem w hakowaniu AWS z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Kup oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

PreviousDeofuscation vbs (cscript.exe)NextOffice file analysis

Last updated 3 days ago