HackTricksLocal Cloud Storage
Reading time: 4 minutes
tip
Impara e pratica l'Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.
OneDrive
In Windows, puoi trovare la cartella OneDrive in \Users\<username>\AppData\Local\Microsoft\OneDrive. E all'interno di logs\Personal è possibile trovare il file SyncDiagnostics.log che contiene alcuni dati interessanti riguardo ai file sincronizzati:
- Dimensione in byte
- Data di creazione
- Data di modifica
- Numero di file nel cloud
- Numero di file nella cartella
- CID: ID univoco dell'utente OneDrive
- Tempo di generazione del report
- Dimensione dell'HD del sistema operativo
Una volta trovato il CID, è consigliato cercare file contenenti questo ID. Potresti essere in grado di trovare file con il nome: <CID>.ini e <CID>.dat che potrebbero contenere informazioni interessanti come i nomi dei file sincronizzati con OneDrive.
Google Drive
In Windows, puoi trovare la cartella principale di Google Drive in \Users\<username>\AppData\Local\Google\Drive\user_default
Questa cartella contiene un file chiamato Sync_log.log con informazioni come l'indirizzo email dell'account, nomi dei file, timestamp, hash MD5 dei file, ecc. Anche i file eliminati appaiono in quel file di log con il corrispondente MD5.
Il file Cloud_graph\Cloud_graph.db è un database sqlite che contiene la tabella cloud_graph_entry. In questa tabella puoi trovare il nome dei file sincronizzati, il tempo di modifica, la dimensione e il checksum MD5 dei file.
I dati della tabella del database Sync_config.db contengono l'indirizzo email dell'account, il percorso delle cartelle condivise e la versione di Google Drive.
Dropbox
Dropbox utilizza database SQLite per gestire i file. In questo
Puoi trovare i database nelle cartelle:
\Users\<username>\AppData\Local\Dropbox\Users\<username>\AppData\Local\Dropbox\Instance1\Users\<username>\AppData\Roaming\Dropbox
E i database principali sono:
- Sigstore.dbx
- Filecache.dbx
- Deleted.dbx
- Config.dbx
L'estensione ".dbx" significa che i database sono criptati. Dropbox utilizza DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Per comprendere meglio la crittografia che utilizza Dropbox, puoi leggere https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Tuttavia, le informazioni principali sono:
- Entropy: d114a55212655f74bd772e37e64aee9b
- Salt: 0D638C092E8B82FC452883F95F355B8E
- Algorithm: PBKDF2
- Iterations: 1066
A parte queste informazioni, per decriptare i database hai ancora bisogno di:
- La chiave DPAPI criptata: Puoi trovarla nel registro all'interno di
NTUSER.DAT\Software\Dropbox\ks\client(esporta questi dati come binari) - I hive
SYSTEMeSECURITY - Le chiavi master DPAPI: Che possono essere trovate in
\Users\<username>\AppData\Roaming\Microsoft\Protect - Il nome utente e la password dell'utente Windows
Poi puoi utilizzare lo strumento DataProtectionDecryptor:
.png)
Se tutto va come previsto, lo strumento indicherà la chiave primaria che devi usare per recuperare quella originale. Per recuperare quella originale, utilizza semplicemente questa ricetta cyber_chef mettendo la chiave primaria come "passphrase" all'interno della ricetta.
L'hex risultante è la chiave finale utilizzata per criptare i database che può essere decriptata con:
sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db
Il config.dbx database contiene:
- Email: L'email dell'utente
- usernamedisplayname: Il nome dell'utente
- dropbox_path: Percorso dove si trova la cartella dropbox
- Host_id: Hash utilizzato per autenticarsi nel cloud. Questo può essere revocato solo dal web.
- Root_ns: Identificatore dell'utente
Il filecache.db database contiene informazioni su tutti i file e le cartelle sincronizzati con Dropbox. La tabella File_journal è quella con più informazioni utili:
- Server_path: Percorso dove si trova il file all'interno del server (questo percorso è preceduto dall'
host_iddel client). - local_sjid: Versione del file
- local_mtime: Data di modifica
- local_ctime: Data di creazione
Altre tabelle all'interno di questo database contengono informazioni più interessanti:
- block_cache: hash di tutti i file e le cartelle di Dropbox
- block_ref: Collega l'ID hash della tabella
block_cachecon l'ID file nella tabellafile_journal - mount_table: Cartelle condivise di dropbox
- deleted_fields: File eliminati da Dropbox
- date_added
tip
Impara e pratica l'Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.