Local Cloud Storage

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

Automate OffSec, EASM, and Custom Security Processes | Trickest

OneDrive

W systemie Windows folder OneDrive można znaleźć w \Users\<username>\AppData\Local\Microsoft\OneDrive. A wewnątrz logs\Personal można znaleźć plik SyncDiagnostics.log, który zawiera interesujące dane dotyczące zsynchronizowanych plików:

Rozmiar w bajtach
Data utworzenia
Data modyfikacji
Liczba plików w chmurze
Liczba plików w folderze
CID: Unikalny identyfikator użytkownika OneDrive
Czas generowania raportu
Rozmiar dysku twardego systemu operacyjnego

Po znalezieniu CID zaleca się wyszukiwanie plików zawierających ten identyfikator. Możesz znaleźć pliki o nazwach: <CID>.ini i <CID>.dat, które mogą zawierać interesujące informacje, takie jak nazwy plików zsynchronizowanych z OneDrive.

Google Drive

W systemie Windows główny folder Google Drive można znaleźć w \Users\<username>\AppData\Local\Google\Drive\user_default Ten folder zawiera plik o nazwie Sync_log.log z informacjami takimi jak adres e-mail konta, nazwy plików, znaczniki czasu, hashe MD5 plików itp. Nawet usunięte pliki pojawiają się w tym pliku dziennika z odpowiadającym im MD5.

Plik Cloud_graph\Cloud_graph.db to baza danych sqlite, która zawiera tabelę cloud_graph_entry. W tej tabeli można znaleźć nazwy zsynchronizowanych plików, czas modyfikacji, rozmiar i sumę kontrolną MD5 plików.

Dane tabeli bazy danych Sync_config.db zawierają adres e-mail konta, ścieżkę do udostępnionych folderów oraz wersję Google Drive.

Dropbox

Dropbox używa baz danych SQLite do zarządzania plikami. W tym Możesz znaleźć bazy danych w folderach:

\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox

A główne bazy danych to:

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

Rozszerzenie ".dbx" oznacza, że bazy danych są szyfrowane. Dropbox używa DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Aby lepiej zrozumieć szyfrowanie, które stosuje Dropbox, możesz przeczytać https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.

Jednak najważniejsze informacje to:

Entropia: d114a55212655f74bd772e37e64aee9b
Sól: 0D638C092E8B82FC452883F95F355B8E
Algorytm: PBKDF2
Iteracje: 1066

Oprócz tych informacji, aby odszyfrować bazy danych, potrzebujesz jeszcze:

szyfrowanego klucza DPAPI: Możesz go znaleźć w rejestrze w NTUSER.DAT\Software\Dropbox\ks\client (wyeksportuj te dane jako binarne)
hive'ów SYSTEM i SECURITY
głównych kluczy DPAPI: Które można znaleźć w \Users\<username>\AppData\Roaming\Microsoft\Protect
nazwa użytkownika i hasło użytkownika systemu Windows

Następnie możesz użyć narzędzia DataProtectionDecryptor:

Jeśli wszystko pójdzie zgodnie z oczekiwaniami, narzędzie wskaże klucz główny, który musisz użyć do odzyskania oryginalnego. Aby odzyskać oryginalny klucz, wystarczy użyć tego przepisu cyber_chef, wstawiając klucz główny jako "hasło" w przepisie.

Ostateczny hex to klucz końcowy użyty do szyfrowania baz danych, który można odszyfrować za pomocą:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

The config.dbx database contains:

Email: Email użytkownika
usernamedisplayname: Nazwa użytkownika
dropbox_path: Ścieżka, w której znajduje się folder dropbox
Host_id: Hash używany do uwierzytelniania w chmurze. Może być odwołany tylko z poziomu sieci.
Root_ns: Identyfikator użytkownika

The filecache.db database contains information about all the files and folders synchronized with Dropbox. The table File_journal is the one with more useful information:

Server_path: Ścieżka, w której znajduje się plik na serwerze (ta ścieżka jest poprzedzona host_id klienta).
local_sjid: Wersja pliku
local_mtime: Data modyfikacji
local_ctime: Data utworzenia

Other tables inside this database contain more interesting information:

block_cache: hash wszystkich plików i folderów Dropbox
block_ref: Powiązanie identyfikatora hash z tabeli block_cache z identyfikatorem pliku w tabeli file_journal
mount_table: Udostępnione foldery Dropbox
deleted_fields: Usunięte pliki Dropbox
date_added

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousDeofuscation vbs (cscript.exe)NextOffice file analysis

Last updated 8 days ago