Local Cloud Storage

Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
Pata swag rasmi wa PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Tumia Trickest kujenga na kutumia mifumo ya kazi kwa kutumia zana za jamii ya juu zaidi ulimwenguni. Pata Ufikiaji Leo:

Automate OffSec, EASM, and Custom Security Processes | Trickest

OneDrive

Katika Windows, unaweza kupata folda ya OneDrive katika \Users\<jina la mtumiaji>\AppData\Local\Microsoft\OneDrive. Na ndani ya logs\Personal inawezekana kupata faili SyncDiagnostics.log ambayo ina data ya kuvutia kuhusu faili zilizosawazishwa:

Ukubwa kwa bayti
Tarehe ya uundaji
Tarehe ya marekebisho
Idadi ya faili kwenye wingu
Idadi ya faili kwenye folda
CID: Kitambulisho cha kipekee cha mtumiaji wa OneDrive
Wakati wa kuzalisha ripoti
Ukubwa wa HD ya OS

Marafiki unapopata CID inapendekezwa tafuta faili zinazo na kitambulisho hiki. Unaweza kupata faili zenye jina: <CID>.ini na <CID>.dat ambazo zinaweza kuwa na habari ya kuvutia kama majina ya faili zilizosawazishwa na OneDrive.

Google Drive

Katika Windows, unaweza kupata folda kuu ya Google Drive katika \Users\<jina la mtumiaji>\AppData\Local\Google\Drive\user_default Folda hii ina faili inayoitwa Sync_log.log na habari kama anwani ya barua pepe ya akaunti, majina ya faili, alama za wakati, hash za MD5 za faili, n.k. Hata faili zilizofutwa zinaonekana kwenye faili hiyo ya log na hash zake za MD5 zinazofanana.

Faili Cloud_graph\Cloud_graph.db ni database ya sqlite ambayo ina meza cloud_graph_entry. Katika meza hii unaweza kupata jina la faili zilizosawazishwa, wakati uliobadilishwa, ukubwa, na hash ya MD5 ya faili.

Data ya meza ya database ya Sync_config.db ina anwani ya barua pepe ya akaunti, njia ya folda zilizoshirikiwa na toleo la Google Drive.

Dropbox

Dropbox hutumia databases za SQLite kusimamia faili. Katika hii Unaweza kupata databases katika folda:

\Users\<jina la mtumiaji>\AppData\Local\Dropbox
\Users\<jina la mtumiaji>\AppData\Local\Dropbox\Instance1
\Users\<jina la mtumiaji>\AppData\Roaming\Dropbox

Na databases kuu ni:

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

Kificho cha ".dbx" kina maana kwamba databases zime fichwa. Dropbox hutumia DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Kuelewa vizuri zaidi ujazo ambao Dropbox hutumia unaweza kusoma https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.

Walakini, habari kuu ni:

Entropy: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algorithm: PBKDF2
Iterations: 1066

Isipokuwa habari hiyo, kufichua databases bado unahitaji:

DPAPI key iliyofichwa: Unaweza kuipata kwenye usajili ndani ya NTUSER.DAT\Software\Dropbox\ks\client (tumia data hii kama binary)
SYSTEM na SECURITY hives
DPAPI master keys: Ambayo yanaweza kupatikana katika \Users\<jina la mtumiaji>\AppData\Roaming\Microsoft\Protect
jina la mtumiaji na nywila ya mtumiaji wa Windows

Kisha unaweza kutumia zana DataProtectionDecryptor:

Ikiwa kila kitu kinaenda kama ilivyotarajiwa, zana itaonyesha funguo kuu ambao unahitaji kutumia kurejesha ile ya awali. Ili kurejesha ile ya awali, tumia hii cyber_chef receipt ukiweka funguo kuu kama "passphrase" ndani ya risiti.

Hex inayopatikana ndio funguo la mwisho linalotumiwa kufichua databases ambayo inaweza kufichuliwa na:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

config.dbx database ina:

Barua pepe: Barua pepe ya mtumiaji
usernamedisplayname: Jina la mtumiaji
dropbox_path: Njia ambapo folda ya dropbox ipo
Host_id: Hash hutumiwa kuthibitisha kwa wingu. Hii inaweza kufutwa tu kutoka kwenye wavuti.
Root_ns: Kitambulisho cha mtumiaji

filecache.db database ina taarifa kuhusu faili na folda zote zilizosawazishwa na Dropbox. Jedwali File_journal ndio lenye taarifa muhimu zaidi:

Server_path: Njia ambapo faili ipo ndani ya seva (njia hii inaanzwa na host_id ya mteja).
local_sjid: Toleo la faili
local_mtime: Tarehe ya marekebisho
local_ctime: Tarehe ya uundaji

Vidirisha vingine ndani ya hii database vina taarifa zaidi ya kuvutia:

block_cache: hash ya faili na folda zote za Dropbox
block_ref: Inahusisha kitambulisho cha hash ya jedwali block_cache na kitambulisho cha faili katika jedwali file_journal
mount_table: Shiriki folda za dropbox
deleted_fields: Faili zilizofutwa za Dropbox
date_added

Tumia Trickest kujenga na kutumia taratibu kwa urahisi zinazotumia zana za jamii za juu zaidi duniani. Pata Ufikiaji Leo:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Jifunze kuhusu kuvamia AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za kuvamia kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

PreviousDeofuscation vbs (cscript.exe)NextOffice file analysis

Last updated 3 days ago