Local Cloud Storage

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikova slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Koristite Trickest da biste lako izgradili i automatizovali radne tokove pokretane najnaprednijim alatima zajednice na svetu. Dobijte pristup danas:

Automate OffSec, EASM, and Custom Security Processes | Trickest

OneDrive

U Windows-u, možete pronaći OneDrive fasciklu u \Users\<korisničko_ime>\AppData\Local\Microsoft\OneDrive. A unutar logs\Personal moguće je pronaći fajl SyncDiagnostics.log koji sadrži neke zanimljive podatke u vezi sa sinhronizovanim fajlovima:

Veličina u bajtovima
Datum kreiranja
Datum modifikacije
Broj fajlova u oblaku
Broj fajlova u fascikli
CID: Jedinstveni ID OneDrive korisnika
Vreme generisanja izveštaja
Veličina HD-a OS-a

Kada pronađete CID, preporučljivo je pretražiti fajlove koji sadrže ovaj ID. Možda ćete moći pronaći fajlove sa imenima: <CID>.ini i <CID>.dat koji mogu sadržati zanimljive informacije poput imena fajlova sinhronizovanih sa OneDrive-om.

Google Drive

U Windows-u, možete pronaći glavnu Google Drive fasciklu u \Users\<korisničko_ime>\AppData\Local\Google\Drive\user_default Ova fascikla sadrži fajl nazvan Sync_log.log sa informacijama poput email adrese naloga, imena fajlova, vremenskih oznaka, MD5 heševa fajlova, itd. Čak i obrisani fajlovi se pojavljuju u tom log fajlu sa odgovarajućim MD5 vrednostima.

Fajl Cloud_graph\Cloud_graph.db je sqlite baza podataka koja sadrži tabelu cloud_graph_entry. U ovoj tabeli možete pronaći ime sinhronizovanih fajlova, vreme modifikacije, veličinu i MD5 kontrolnu sumu fajlova.

Podaci tabele baze podataka Sync_config.db sadrže email adresu naloga, putanje deljenih fascikli i verziju Google Drive-a.

Dropbox

Dropbox koristi SQLite baze podataka za upravljanje fajlovima. U ovim Možete pronaći baze podataka u fasciklama:

\Users\<korisničko_ime>\AppData\Local\Dropbox
\Users\<korisničko_ime>\AppData\Local\Dropbox\Instance1
\Users\<korisničko_ime>\AppData\Roaming\Dropbox

Glavne baze podataka su:

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

Ekstenzija ".dbx" znači da su baze podataka šifrovane. Dropbox koristi DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Da biste bolje razumeli šifrovanje koje Dropbox koristi, možete pročitati https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.

Međutim, glavne informacije su:

Entropija: d114a55212655f74bd772e37e64aee9b
So: 0D638C092E8B82FC452883F95F355B8E
Algoritam: PBKDF2
Iteracije: 1066

Osim tih informacija, da biste dešifrovali baze podataka, još uvek vam je potrebno:

Šifrovani DPAPI ključ: Možete ga pronaći u registru unutar NTUSER.DAT\Software\Dropbox\ks\client (izvezite ove podatke kao binarne)
SYSTEM i SECURITY košnice
DPAPI master ključevi: Koji se mogu pronaći u \Users\<korisničko_ime>\AppData\Roaming\Microsoft\Protect
korisničko ime i lozinka Windows korisnika

Zatim možete koristiti alat DataProtectionDecryptor:

Ako sve ide kako se očekuje, alat će pokazati primarni ključ koji vam je potreban da biste koristili za oporavak originalnog ključa. Da biste oporavili originalni ključ, jednostavno koristite ovaj cyber_chef recept stavljajući primarni ključ kao "lozinku" unutar recepta.

Rezultujući heks je konačni ključ koji se koristi za šifrovanje baza podataka koje se mogu dešifrovati sa:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

Baza podataka config.dbx sadrži:

Email: Email korisnika
usernamedisplayname: Ime korisnika
dropbox_path: Putanja gde se nalazi Dropbox folder
Host_id: Hash korišćen za autentifikaciju na oblaku. Ovo se može opozvati samo sa veba.
Root_ns: Identifikator korisnika

Baza podataka filecache.db sadrži informacije o svim fajlovima i fasciklama sinhronizovanim sa Dropbox-om. Tabela File_journal je ona sa najkorisnijim informacijama:

Server_path: Putanja gde se fajl nalazi unutar servera (ova putanja je prethodjena host_id-om klijenta).
local_sjid: Verzija fajla
local_mtime: Datum modifikacije
local_ctime: Datum kreiranja

Druge tabele unutar ove baze podataka sadrže još interesantnih informacija:

block_cache: heš svih fajlova i fascikli Dropbox-a
block_ref: Povezan je ID heša iz tabele block_cache sa ID fajla u tabeli file_journal
mount_table: Deljenje fascikli Dropbox-a
deleted_fields: Obrisani fajlovi sa Dropbox-a
date_added

Koristite Trickest da lako izgradite i automatizujete radne tokove pokretane najnaprednijim alatima zajednice na svetu. Pristupite danas:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousDeofuscation vbs (cscript.exe)NextOffice file analysis

Last updated 2 days ago