Local Cloud Storage

Aprenda hacking na AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Verifique os PLANOS DE ASSINATURA!
Obtenha o swag oficial do PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

Use Trickest para construir e automatizar fluxos de trabalho facilmente com as ferramentas comunitárias mais avançadas do mundo. Tenha Acesso Hoje:

Automate OffSec, EASM, and Custom Security Processes | Trickest

OneDrive

No Windows, você pode encontrar a pasta do OneDrive em \Users\<username>\AppData\Local\Microsoft\OneDrive. E dentro de logs\Personal é possível encontrar o arquivo SyncDiagnostics.log que contém alguns dados interessantes sobre os arquivos sincronizados:

Tamanho em bytes
Data de criação
Data de modificação
Número de arquivos na nuvem
Número de arquivos na pasta
CID: ID único do usuário do OneDrive
Tempo de geração do relatório
Tamanho do HD do sistema operacional

Depois de encontrar o CID, é recomendável procurar arquivos contendo este ID. Você pode encontrar arquivos com os nomes: <CID>.ini e <CID>.dat que podem conter informações interessantes como os nomes dos arquivos sincronizados com o OneDrive.

Google Drive

No Windows, você pode encontrar a pasta principal do Google Drive em \Users\<username>\AppData\Local\Google\Drive\user_default Esta pasta contém um arquivo chamado Sync_log.log com informações como o endereço de e-mail da conta, nomes de arquivos, carimbos de data e hora, hashes MD5 dos arquivos, etc. Mesmo os arquivos excluídos aparecem nesse arquivo de log com seus respectivos MD5.

O arquivo Cloud_graph\Cloud_graph.db é um banco de dados sqlite que contém a tabela cloud_graph_entry. Nesta tabela, você pode encontrar o nome dos arquivos sincronizados, hora modificada, tamanho e o checksum MD5 dos arquivos.

Os dados da tabela do banco de dados Sync_config.db contêm o endereço de e-mail da conta, o caminho das pastas compartilhadas e a versão do Google Drive.

Dropbox

O Dropbox usa bancos de dados SQLite para gerenciar os arquivos. Nisso Você pode encontrar os bancos de dados nas pastas:

\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox

E os principais bancos de dados são:

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

A extensão ".dbx" significa que os bancos de dados estão criptografados. O Dropbox usa DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Para entender melhor a criptografia que o Dropbox usa, você pode ler https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.

No entanto, as principais informações são:

Entropia: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algoritmo: PBKDF2
Iterações: 1066

Além dessas informações, para descriptografar os bancos de dados, você ainda precisa:

A chave DPAPI criptografada: Você pode encontrá-la no registro dentro de NTUSER.DAT\Software\Dropbox\ks\client (exporte esses dados como binário)
Os enxames SYSTEM e SECURITY
As chaves mestras DPAPI: Que podem ser encontradas em \Users\<username>\AppData\Roaming\Microsoft\Protect
O nome de usuário e senha do usuário do Windows

Então você pode usar a ferramenta DataProtectionDecryptor:

Se tudo correr como esperado, a ferramenta indicará a chave primária que você precisa usar para recuperar a original. Para recuperar a original, basta usar este recibo cyber_chef colocando a chave primária como "senha" dentro do recibo.

O hexadecimal resultante é a chave final usada para criptografar os bancos de dados que podem ser descriptografados com:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

A base de dados config.dbx contém:

Email: O email do usuário
usernamedisplayname: O nome do usuário
dropbox_path: Caminho onde a pasta do Dropbox está localizada
Host_id: Hash usado para autenticar na nuvem. Isso só pode ser revogado pela web.
Root_ns: Identificador do usuário

A base de dados filecache.db contém informações sobre todos os arquivos e pastas sincronizados com o Dropbox. A tabela File_journal é a que contém mais informações úteis:

Server_path: Caminho onde o arquivo está localizado dentro do servidor (esse caminho é precedido pelo host_id do cliente).
local_sjid: Versão do arquivo
local_mtime: Data de modificação
local_ctime: Data de criação

Outras tabelas dentro dessa base de dados contêm informações mais interessantes:

block_cache: hash de todos os arquivos e pastas do Dropbox
block_ref: Relaciona o ID de hash da tabela block_cache com o ID do arquivo na tabela file_journal
mount_table: Compartilhamento de pastas do Dropbox
deleted_fields: Arquivos excluídos do Dropbox
date_added

Use Trickest para construir e automatizar fluxos de trabalho facilmente com as ferramentas comunitárias mais avançadas do mundo. Acesse hoje:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Aprenda hacking na AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
Adquira o oficial PEASS & HackTricks swag
Descubra The PEASS Family, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou nos siga no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para os repositórios HackTricks e HackTricks Cloud.

PreviousDeofuscation vbs (cscript.exe)NextOffice file analysis

Last updated 12 days ago