Local Cloud Storage

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au fuata sisi kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Tumia Trickest kujenga na kujiendesha kwa urahisi kwa kutumia zana za jamii zilizoendelea zaidi duniani. Pata Ufikiaji Leo:

Automate OffSec, EASM, and Custom Security Processes | Trickest

OneDrive

Katika Windows, unaweza kupata folda ya OneDrive katika \Users\<username>\AppData\Local\Microsoft\OneDrive. Na ndani ya logs\Personal inawezekana kupata faili SyncDiagnostics.log ambayo ina data za kuvutia kuhusu faili zilizohusishwa:

Ukubwa kwa bytes
Tarehe ya kuundwa
Tarehe ya mabadiliko
Idadi ya faili katika wingu
Idadi ya faili katika folda
CID: Kitambulisho cha kipekee cha mtumiaji wa OneDrive
Wakati wa kuzalisha ripoti
Ukubwa wa HD wa OS

Mara tu unapopata CID inashauriwa kutafuta faili zinazohusisha ID hii. Unaweza kupata faili zenye jina: <CID>.ini na <CID>.dat ambazo zinaweza kuwa na taarifa za kuvutia kama majina ya faili zilizohusishwa na OneDrive.

Google Drive

Katika Windows, unaweza kupata folda kuu ya Google Drive katika \Users\<username>\AppData\Local\Google\Drive\user_default Folda hii ina faili inayoitwa Sync_log.log yenye taarifa kama anwani ya barua pepe ya akaunti, majina ya faili, alama za wakati, MD5 hashes za faili, nk. Hata faili zilizofutwa zinaonekana katika faili hiyo ya logi na MD5 inayohusiana.

Faili Cloud_graph\Cloud_graph.db ni database ya sqlite ambayo ina jedwali cloud_graph_entry. Katika jedwali hili unaweza kupata jina la faili zilizohusishwa, wakati wa mabadiliko, ukubwa, na MD5 checksum za faili.

Data za jedwali la database Sync_config.db zina anwani ya barua pepe ya akaunti, njia za folda zilizoshirikiwa na toleo la Google Drive.

Dropbox

Dropbox hutumia databases za SQLite kusimamia faili. Katika hii Unaweza kupata databases katika folda:

\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox

Na databases kuu ni:

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

Kiambatisho ".dbx" kinamaanisha kwamba databases zime siri. Dropbox hutumia DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Ili kuelewa vizuri zaidi usimbuaji ambao Dropbox hutumia unaweza kusoma https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.

Hata hivyo, taarifa kuu ni:

Entropy: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algorithm: PBKDF2
Iterations: 1066

Mbali na taarifa hiyo, ili kufungua databases bado unahitaji:

funguo ya DPAPI iliyosimbwa: Unaweza kuipata katika rejista ndani ya NTUSER.DAT\Software\Dropbox\ks\client (safisha data hii kama binary)
SYSTEM na SECURITY hives
funguo kuu za DPAPI: Ambazo zinaweza kupatikana katika \Users\<username>\AppData\Roaming\Microsoft\Protect
jina la mtumiaji na nenosiri la mtumiaji wa Windows

Kisha unaweza kutumia chombo DataProtectionDecryptor:

Ikiwa kila kitu kinaenda kama inavyotarajiwa, chombo kitakuonyesha funguo kuu ambayo unahitaji kutumia ili kurejesha ile ya awali. Ili kurejesha ile ya awali, tumia mapishi haya ya cyber_chef ukitumia funguo kuu kama "passphrase" ndani ya mapishi.

Hex inayotokana ni funguo ya mwisho inayotumika kusimbua databases ambazo zinaweza kufunguliwa na:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

The config.dbx database contains:

Email: Barua pepe ya mtumiaji
usernamedisplayname: Jina la mtumiaji
dropbox_path: Njia ambapo folda ya dropbox iko
Host_id: Hash inayotumika kuthibitisha kwenye wingu. Hii inaweza kufutwa tu kutoka kwenye wavuti.
Root_ns: Kitambulisho cha mtumiaji

The filecache.db database contains information about all the files and folders synchronized with Dropbox. The table File_journal is the one with more useful information:

Server_path: Njia ambapo faili iko ndani ya seva (njia hii inatanguliwa na host_id ya mteja).
local_sjid: Toleo la faili
local_mtime: Tarehe ya mabadiliko
local_ctime: Tarehe ya kuunda

Other tables inside this database contain more interesting information:

block_cache: hash ya faili zote na folda za Dropbox
block_ref: Inahusisha kitambulisho cha hash cha jedwali block_cache na kitambulisho cha faili katika jedwali file_journal
mount_table: Shiriki folda za dropbox
deleted_fields: Faili zilizofutwa za Dropbox
date_added

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousDeofuscation vbs (cscript.exe)NextOffice file analysis

Last updated 8 days ago