HackTricksStockage Cloud Local
Reading time: 5 minutes
tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : 
HackTricks Training GCP Red Team Expert (GRTE)
Soutenir HackTricks
- VĂ©rifiez les plans d'abonnement !
- Rejoignez le đŹ groupe Discord ou le groupe telegram ou suivez nous sur Twitter đŠ @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PRs au HackTricks et HackTricks Cloud dépÎts github.
OneDrive
Dans Windows, vous pouvez trouver le dossier OneDrive dans \Users\<username>\AppData\Local\Microsoft\OneDrive. Et à l'intérieur de logs\Personal, il est possible de trouver le fichier SyncDiagnostics.log qui contient des données intéressantes concernant les fichiers synchronisés :
- Taille en octets
- Date de création
- Date de modification
- Nombre de fichiers dans le cloud
- Nombre de fichiers dans le dossier
- CID : ID unique de l'utilisateur OneDrive
- Heure de génération du rapport
- Taille du disque dur du systĂšme d'exploitation
Une fois que vous avez trouvĂ© le CID, il est recommandĂ© de chercher des fichiers contenant cet ID. Vous pourriez ĂȘtre en mesure de trouver des fichiers avec le nom : <CID>.ini et <CID>.dat qui peuvent contenir des informations intĂ©ressantes comme les noms des fichiers synchronisĂ©s avec OneDrive.
Google Drive
Dans Windows, vous pouvez trouver le dossier principal de Google Drive dans \Users\<username>\AppData\Local\Google\Drive\user_default
Ce dossier contient un fichier appelĂ© Sync_log.log avec des informations comme l'adresse e-mail du compte, les noms de fichiers, les horodatages, les hachages MD5 des fichiers, etc. MĂȘme les fichiers supprimĂ©s apparaissent dans ce fichier journal avec leur MD5 correspondant.
Le fichier Cloud_graph\Cloud_graph.db est une base de données sqlite qui contient la table cloud_graph_entry. Dans cette table, vous pouvez trouver le nom des fichiers synchronisés, l'heure de modification, la taille et le hachage MD5 des fichiers.
Les données de la table de la base de données Sync_config.db contiennent l'adresse e-mail du compte, le chemin des dossiers partagés et la version de Google Drive.
Dropbox
Dropbox utilise des bases de données SQLite pour gérer les fichiers. Dans ce
Vous pouvez trouver les bases de données dans les dossiers :
\Users\<username>\AppData\Local\Dropbox\Users\<username>\AppData\Local\Dropbox\Instance1\Users\<username>\AppData\Roaming\Dropbox
Et les principales bases de données sont :
- Sigstore.dbx
- Filecache.dbx
- Deleted.dbx
- Config.dbx
L'extension ".dbx" signifie que les bases de données sont chiffrées. Dropbox utilise DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Pour mieux comprendre le chiffrement utilisé par Dropbox, vous pouvez lire https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Cependant, les informations principales sont :
- Entropy : d114a55212655f74bd772e37e64aee9b
- Salt : 0D638C092E8B82FC452883F95F355B8E
- Algorithm : PBKDF2
- Iterations : 1066
En plus de ces informations, pour déchiffrer les bases de données, vous avez encore besoin de :
- La clé DPAPI chiffrée : Vous pouvez la trouver dans le registre à l'intérieur de
NTUSER.DAT\Software\Dropbox\ks\client(exportez ces données au format binaire) - Les hives
SYSTEMetSECURITY - Les clĂ©s maĂźtresses DPAPI : Qui peuvent ĂȘtre trouvĂ©es dans
\Users\<username>\AppData\Roaming\Microsoft\Protect - Le nom d'utilisateur et le mot de passe de l'utilisateur Windows
Ensuite, vous pouvez utiliser l'outil DataProtectionDecryptor:
.png)
Si tout se passe comme prévu, l'outil indiquera la clé primaire que vous devez utiliser pour récupérer l'originale. Pour récupérer l'originale, utilisez simplement cette recette cyber_chef en mettant la clé primaire comme "phrase de passe" à l'intérieur de la recette.
Le hex rĂ©sultant est la clĂ© finale utilisĂ©e pour chiffrer les bases de donnĂ©es qui peut ĂȘtre dĂ©chiffrĂ©e avec :
sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db
La base de données config.dbx contient :
- Email : L'email de l'utilisateur
- usernamedisplayname : Le nom de l'utilisateur
- dropbox_path : Chemin oĂč le dossier Dropbox est situĂ©
- Host_id : Hash utilisĂ© pour s'authentifier dans le cloud. Cela ne peut ĂȘtre rĂ©voquĂ© que depuis le web.
- Root_ns : Identifiant de l'utilisateur
La base de données filecache.db contient des informations sur tous les fichiers et dossiers synchronisés avec Dropbox. La table File_journal est celle avec le plus d'informations utiles :
- Server_path : Chemin oĂč le fichier est situĂ© Ă l'intĂ©rieur du serveur (ce chemin est prĂ©cĂ©dĂ© par le
host_iddu client). - local_sjid : Version du fichier
- local_mtime : Date de modification
- local_ctime : Date de création
D'autres tables à l'intérieur de cette base de données contiennent des informations plus intéressantes :
- block_cache : hash de tous les fichiers et dossiers de Dropbox
- block_ref : Relie l'ID de hash de la table
block_cacheavec l'ID de fichier dans la tablefile_journal - mount_table : Dossiers partagés de Dropbox
- deleted_fields : Fichiers supprimés de Dropbox
- date_added
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Soutenir HackTricks
- VĂ©rifiez les plans d'abonnement !
- Rejoignez le đŹ groupe Discord ou le groupe telegram ou suivez nous sur Twitter đŠ @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PRs au HackTricks et HackTricks Cloud dépÎts github.