Local Cloud Storage

Sıfırdan kahraman olmak için AWS hackleme öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'ı desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız [ABONELİK PLANLARI]'na (https://github.com/sponsors/carlospolop) göz atın!
Resmi PEASS & HackTricks ürünlerine göz atın
PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
Katılın 💬 Discord grubuna veya telegram grubuna veya bizi Twitter 🐦 @hacktricks_live** takip edin.**
Hacking püf noktalarınızı paylaşarak PR'lar göndererek HackTricks (https://github.com/carlospolop/hacktricks) ve HackTricks Cloud github depolarına katkıda bulunun.

Trickest kullanarak dünyanın en gelişmiş topluluk araçları tarafından desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin. Bugün Erişim Alın:

Automate OffSec, EASM, and Custom Security Processes | Trickest

OneDrive

Windows'ta, OneDrive klasörünü \Users\<kullanıcıadı>\AppData\Local\Microsoft\OneDrive içinde bulabilirsiniz. Ve içinde logs\Personal klasöründe senkronize edilen dosyalarla ilgili bazı ilginç veriler içeren SyncDiagnostics.log dosyasını bulabilirsiniz:

Bayt cinsinden boyut
Oluşturma tarihi
Değiştirme tarihi
Bulutta bulunan dosya sayısı
Klasörde bulunan dosya sayısı
CID: OneDrive kullanıcısının benzersiz kimliği
Rapor oluşturma zamanı
İşletim sisteminin HD boyutu

CID'yi bulduktan sonra bu kimliği içeren dosyaları aramanız önerilir. <CID>.ini ve <CID>.dat adında dosyalar bulabilir ve bu dosyaların OneDrive ile senkronize edilen dosyaların adlarını içerebileceği ilginç bilgiler içerebilir.

Google Drive

Windows'ta, ana Google Drive klasörünü \Users\<kullanıcıadı>\AppData\Local\Google\Drive\user_default içinde bulabilirsiniz. Bu klasör, hesabın e-posta adresi, dosya adları, zaman damgaları, dosyaların MD5 karma değerleri vb. gibi bilgiler içeren Sync_log.log adlı bir dosya içerir. Silinmiş dosyalar bile, ilgili MD5 değeriyle birlikte o log dosyasında görünür.

Cloud_graph\Cloud_graph.db dosyası, cloud_graph_entry tablosunu içeren bir sqlite veritabanıdır. Bu tabloda senkronize edilen dosyaların adı, değiştirilme zamanı, boyut ve dosyaların MD5 toplamı bulunabilir.

Veritabanı Sync_config.db tablo verileri hesabın e-posta adresini, paylaşılan klasörlerin yolunu ve Google Drive sürümünü içerir.

Dropbox

Dropbox dosyaları yönetmek için SQLite veritabanlarını kullanır. Bu Veritabanlarını aşağıdaki klasörlerde bulabilirsiniz:

\Users\<kullanıcıadı>\AppData\Local\Dropbox
\Users\<kullanıcıadı>\AppData\Local\Dropbox\Instance1
\Users\<kullanıcıadı>\AppData\Roaming\Dropbox

Ve ana veritabanları şunlardır:

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

".dbx" uzantısı, veritabanlarının şifreli olduğu anlamına gelir. Dropbox, DPAPI'yi kullanır (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Dropbox'un kullandığı şifrelemeyi daha iyi anlamak için https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html adresini okuyabilirsiniz.

Ancak, ana bilgiler şunlardır:

Entropi: d114a55212655f74bd772e37e64aee9b
Tuz: 0D638C092E8B82FC452883F95F355B8E
Algoritma: PBKDF2
İterasyonlar: 1066

Bu bilgilerin yanı sıra, veritabanlarını şifrelemek için hala gerekenler:

Şifreli DPAPI anahtarı: Bu veriyi NTUSER.DAT\Software\Dropbox\ks\client içinde kayıt defterinde bulabilirsiniz (bu veriyi ikili olarak dışa aktarın)
SYSTEM ve SECURITY hive'ları
DPAPI anahtarları: Bunlar \Users\<kullanıcıadı>\AppData\Roaming\Microsoft\Protect içinde bulunabilir
Windows kullanıcısının kullanıcı adı ve şifresi

Ardından DataProtectionDecryptor** aracını kullanabilirsiniz:**

Her şey beklediğiniz gibi giderse, araç kullanmanız gereken birincil anahtarı belirtecektir. Orijinal anahtarı kurtarmak için, bu cyber_chef reçetesini alıntılanan anahtarı "parola" olarak reçeteye yerleştirin.

Sonuçta elde edilen onaltılık, veritabanlarını şifrelemek için kullanılan nihai anahtardır ve şununla şifrelenmiş veritabanlar şifresi çözülebilir:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

config.dbx veritabanı şunları içerir:

Email: Kullanıcının e-posta adresi
usernamedisplayname: Kullanıcının adı
dropbox_path: Dropbox klasörünün bulunduğu yol
Host_id: Buluta kimlik doğrulamak için kullanılan hash. Bu sadece web üzerinden iptal edilebilir.
Root_ns: Kullanıcı kimliği

filecache.db veritabanı, Dropbox ile senkronize edilen tüm dosya ve klasörler hakkında bilgi içerir. En fazla kullanışlı bilgiye sahip olan tablo File_journal şudur:

Server_path: Sunucu içinde dosyanın bulunduğu yol (bu yol, istemcinin host_id'si tarafından önce gelir).
local_sjid: Dosyanın sürümü
local_mtime: Değiştirme tarihi
local_ctime: Oluşturma tarihi

Bu veritabanındaki diğer tablolar daha ilginç bilgiler içerir:

block_cache: Dropbox'un tüm dosya ve klasörlerinin hash'leri
block_ref: block_cache tablosundaki hash kimliğini file_journal tablosundaki dosya kimliği ile ilişkilendirir
mount_table: Dropbox'un paylaşılan klasörleri
deleted_fields: Silinen Dropbox dosyaları
date_added

Trickest'i kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin. Bugün Erişim Alın:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Sıfırdan kahraman olmak için AWS hackleme öğrenin htARTE (HackTricks AWS Red Team Expert)!

HackTricks'ı desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerine göz atın
The PEASS Family'yi keşfedin, özel NFT'lerimiz koleksiyonumuzu keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya bizi Twitter'da 🐦 @hacktricks_live'ı takip edin.
Hacking püf noktalarınızı göndererek HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.

PreviousDeofuscation vbs (cscript.exe)NextOffice file analysis

Last updated 2 days ago