HackTricksPlaaslike Wolk Berging
Reading time: 5 minutes
tip
Leer & oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die đŹ Discord groep of die telegram groep of volg ons op Twitter đŠ @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
OneDrive
In Windows kan jy die OneDrive-gids vind in \Users\<username>\AppData\Local\Microsoft\OneDrive. En binne logs\Personal is dit moontlik om die lĂȘer SyncDiagnostics.log te vind wat interessante data bevat rakende die gesinkroniseerde lĂȘers:
- Grootte in bytes
- Skeppingsdatum
- Wysigingsdatum
- Aantal lĂȘers in die wolk
- Aantal lĂȘers in die gids
- CID: Unieke ID van die OneDrive-gebruiker
- Verslaggenerasietyd
- Grootte van die HD van die OS
Sodra jy die CID gevind het, word dit aanbeveel om lĂȘers wat hierdie ID bevat te soek. Jy mag dalk lĂȘers met die naam: <CID>.ini en <CID>.dat vind wat interessante inligting kan bevat soos die name van lĂȘers wat met OneDrive gesinkroniseer is.
Google Drive
In Windows kan jy die hoof Google Drive-gids vind in \Users\<username>\AppData\Local\Google\Drive\user_default
Hierdie gids bevat 'n lĂȘer genaamd Sync_log.log met inligting soos die e-posadres van die rekening, lĂȘernames, tydstempels, MD5-hashes van die lĂȘers, ens. Selfs verwyderde lĂȘers verskyn in daardie loglĂȘer met die ooreenstemmende MD5.
Die lĂȘer Cloud_graph\Cloud_graph.db is 'n sqlite-databasis wat die tabel cloud_graph_entry bevat. In hierdie tabel kan jy die naam van die gesinkroniseerde lĂȘers, gewysigde tyd, grootte, en die MD5 kontrole som van die lĂȘers vind.
Die tabeldata van die databasis Sync_config.db bevat die e-posadres van die rekening, die pad van die gedeelde gidse en die Google Drive weergawe.
Dropbox
Dropbox gebruik SQLite-databasisse om die lĂȘers te bestuur. In hierdie
Jy kan die databasisse in die gidse vind:
\Users\<username>\AppData\Local\Dropbox\Users\<username>\AppData\Local\Dropbox\Instance1\Users\<username>\AppData\Roaming\Dropbox
En die hoofdatabasisse is:
- Sigstore.dbx
- Filecache.dbx
- Deleted.dbx
- Config.dbx
Die ".dbx" uitbreiding beteken dat die databasisse versleuteld is. Dropbox gebruik DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Om die versleuteling wat Dropbox gebruik beter te verstaan, kan jy lees https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Tog, die hoofinligting is:
- Entropie: d114a55212655f74bd772e37e64aee9b
- Salt: 0D638C092E8B82FC452883F95F355B8E
- Algoritme: PBKDF2
- Herhalings: 1066
Afgesien van daardie inligting, om die databasisse te ontsleutel het jy steeds nodig:
- Die versleutelde DPAPI-sleutel: Jy kan dit in die registrasie vind binne
NTUSER.DAT\Software\Dropbox\ks\client(eksporteer hierdie data as binĂȘr) - Die
SYSTEMenSECURITYhives - Die DPAPI meester sleutels: Wat gevind kan word in
\Users\<username>\AppData\Roaming\Microsoft\Protect - Die gebruikersnaam en wagwoord van die Windows-gebruiker
Dan kan jy die hulpmiddel DataProtectionDecryptor:
.png)
As alles volgens verwagting verloop, sal die hulpmiddel die primĂȘre sleutel aandui wat jy moet gebruik om die oorspronklike een te herstel. Om die oorspronklike een te herstel, gebruik net hierdie cyber_chef resep en plaas die primĂȘre sleutel as die "wagwoord" binne die resep.
Die resulterende hex is die finale sleutel wat gebruik word om die databasisse te versleutel wat ontsleuteld kan word met:
sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db
Die config.dbx databasis bevat:
- E-pos: Die e-pos van die gebruiker
- usernamedisplayname: Die naam van die gebruiker
- dropbox_path: Pad waar die dropbox-gids geleë is
- Host_id: Hash wat gebruik word om by die wolk te autentiseer. Dit kan slegs vanaf die web herroep word.
- Root_ns: Gebruikeridentifiseerder
Die filecache.db databasis bevat inligting oor al die lĂȘers en gidse wat met Dropbox gesinchroniseer is. Die tabel File_journal is die een met die meeste nuttige inligting:
- Server_path: Pad waar die lĂȘer binne die bediener geleĂ« is (hierdie pad word voorafgegaan deur die
host_idvan die kliĂ«nt). - local_sjid: Weergawe van die lĂȘer
- local_mtime: Wysigingsdatum
- local_ctime: Skeppingsdatum
Ander tabelle binne hierdie databasis bevat meer interessante inligting:
- block_cache: hash van al die lĂȘers en gidse van Dropbox
- block_ref: Verbind die hash ID van die tabel
block_cachemet die lĂȘer ID in die tabelfile_journal - mount_table: Gedeelde gidse van dropbox
- deleted_fields: Dropbox verwyderde lĂȘers
- date_added
tip
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die đŹ Discord groep of die telegram groep of volg ons op Twitter đŠ @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.