HackTricksAlmacenamiento en la Nube Local
Reading time: 5 minutes
tip
Aprende y practica AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripci贸n!
- 脷nete al 馃挰 grupo de Discord o al grupo de telegram o s铆guenos en Twitter 馃惁 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.
OneDrive
En Windows, puedes encontrar la carpeta de OneDrive en \Users\<username>\AppData\Local\Microsoft\OneDrive. Y dentro de logs\Personal es posible encontrar el archivo SyncDiagnostics.log que contiene algunos datos interesantes sobre los archivos sincronizados:
- Tama帽o en bytes
- Fecha de creaci贸n
- Fecha de modificaci贸n
- N煤mero de archivos en la nube
- N煤mero de archivos en la carpeta
- CID: ID 煤nico del usuario de OneDrive
- Hora de generaci贸n del informe
- Tama帽o del HD del sistema operativo
Una vez que hayas encontrado el CID, se recomienda buscar archivos que contengan este ID. Es posible que encuentres archivos con el nombre: <CID>.ini y <CID>.dat que pueden contener informaci贸n interesante como los nombres de los archivos sincronizados con OneDrive.
Google Drive
En Windows, puedes encontrar la carpeta principal de Google Drive en \Users\<username>\AppData\Local\Google\Drive\user_default
Esta carpeta contiene un archivo llamado Sync_log.log con informaci贸n como la direcci贸n de correo electr贸nico de la cuenta, nombres de archivos, marcas de tiempo, hashes MD5 de los archivos, etc. Incluso los archivos eliminados aparecen en ese archivo de registro con su correspondiente MD5.
El archivo Cloud_graph\Cloud_graph.db es una base de datos sqlite que contiene la tabla cloud_graph_entry. En esta tabla puedes encontrar el nombre de los archivos sincronizados, tiempo de modificaci贸n, tama帽o y el checksum MD5 de los archivos.
Los datos de la tabla de la base de datos Sync_config.db contienen la direcci贸n de correo electr贸nico de la cuenta, la ruta de las carpetas compartidas y la versi贸n de Google Drive.
Dropbox
Dropbox utiliza bases de datos SQLite para gestionar los archivos. En este
Puedes encontrar las bases de datos en las carpetas:
\Users\<username>\AppData\Local\Dropbox\Users\<username>\AppData\Local\Dropbox\Instance1\Users\<username>\AppData\Roaming\Dropbox
Y las bases de datos principales son:
- Sigstore.dbx
- Filecache.dbx
- Deleted.dbx
- Config.dbx
La extensi贸n ".dbx" significa que las bases de datos est谩n encriptadas. Dropbox utiliza DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Para entender mejor la encriptaci贸n que utiliza Dropbox, puedes leer https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Sin embargo, la informaci贸n principal es:
- Entrop铆a: d114a55212655f74bd772e37e64aee9b
- Sal: 0D638C092E8B82FC452883F95F355B8E
- Algoritmo: PBKDF2
- Iteraciones: 1066
Aparte de esa informaci贸n, para descifrar las bases de datos a煤n necesitas:
- La clave DPAPI encriptada: Puedes encontrarla en el registro dentro de
NTUSER.DAT\Software\Dropbox\ks\client(exporta estos datos como binarios) - Los hives de
SYSTEMySECURITY - Las claves maestras DPAPI: Que se pueden encontrar en
\Users\<username>\AppData\Roaming\Microsoft\Protect - El nombre de usuario y contrase帽a del usuario de Windows
Luego puedes usar la herramienta DataProtectionDecryptor:
.png)
Si todo sale como se espera, la herramienta indicar谩 la clave principal que necesitas usar para recuperar la original. Para recuperar la original, simplemente usa esta receta de cyber_chef poniendo la clave principal como la "frase de paso" dentro de la receta.
El hex resultante es la clave final utilizada para encriptar las bases de datos que se puede descifrar con:
sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db
La base de datos config.dbx contiene:
- Email: El correo electr贸nico del usuario
- usernamedisplayname: El nombre del usuario
- dropbox_path: Ruta donde se encuentra la carpeta de Dropbox
- Host_id: Hash utilizado para autenticarse en la nube. Esto solo se puede revocar desde la web.
- Root_ns: Identificador del usuario
La base de datos filecache.db contiene informaci贸n sobre todos los archivos y carpetas sincronizados con Dropbox. La tabla File_journal es la que tiene m谩s informaci贸n 煤til:
- Server_path: Ruta donde se encuentra el archivo dentro del servidor (esta ruta est谩 precedida por el
host_iddel cliente). - local_sjid: Versi贸n del archivo
- local_mtime: Fecha de modificaci贸n
- local_ctime: Fecha de creaci贸n
Otras tablas dentro de esta base de datos contienen informaci贸n m谩s interesante:
- block_cache: hash de todos los archivos y carpetas de Dropbox
- block_ref: Relaciona el ID de hash de la tabla
block_cachecon el ID del archivo en la tablafile_journal - mount_table: Carpetas compartidas de Dropbox
- deleted_fields: Archivos eliminados de Dropbox
- date_added
tip
Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripci贸n!
- 脷nete al 馃挰 grupo de Discord o al grupo de telegram o s铆guenos en Twitter 馃惁 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.