HackTricksローカルクラウドストレージ
Reading time: 7 minutes
tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:
HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
OneDrive
Windowsでは、OneDriveフォルダーは \Users\<username>\AppData\Local\Microsoft\OneDrive にあります。そして logs\Personal 内には、同期されたファイルに関する興味深いデータを含む SyncDiagnostics.log ファイルがあります:
- バイト単位のサイズ
- 作成日
- 修正日
- クラウド内のファイル数
- フォルダー内のファイル数
- CID: OneDriveユーザーのユニークID
- レポート生成時間
- OSのHDのサイズ
CIDを見つけたら、このIDを含むファイルを検索することをお勧めします。<CID>.ini や <CID>.dat という名前のファイルが見つかるかもしれません。これらのファイルには、OneDriveと同期されたファイルの名前などの興味深い情報が含まれている可能性があります。
Google Drive
Windowsでは、主要なGoogle Driveフォルダーは \Users\<username>\AppData\Local\Google\Drive\user_default にあります。このフォルダーには、アカウントのメールアドレス、ファイル名、タイムスタンプ、ファイルのMD5ハッシュなどの情報を含む Sync_log.log というファイルがあります。削除されたファイルも、そのログファイルに対応するMD5と共に表示されます。
Cloud_graph\Cloud_graph.db ファイルはsqliteデータベースで、cloud_graph_entry テーブルを含んでいます。このテーブルには、同期された ファイルの名前、修正時間、サイズ、ファイルのMD5チェックサムが含まれています。
データベース Sync_config.db のテーブルデータには、アカウントのメールアドレス、共有フォルダーのパス、Google Driveのバージョンが含まれています。
Dropbox
DropboxはSQLiteデータベースを使用してファイルを管理しています。この中で、データベースは以下のフォルダーにあります:
\Users\<username>\AppData\Local\Dropbox\Users\<username>\AppData\Local\Dropbox\Instance1\Users\<username>\AppData\Roaming\Dropbox
主要なデータベースは次のとおりです:
- Sigstore.dbx
- Filecache.dbx
- Deleted.dbx
- Config.dbx
".dbx"拡張子は、データベースが暗号化されていることを意味します。DropboxはDPAPIを使用しています(https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Dropboxが使用している暗号化をよりよく理解するには、https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.htmlを読むことができます。
しかし、主な情報は次のとおりです:
- エントロピー: d114a55212655f74bd772e37e64aee9b
- ソルト: 0D638C092E8B82FC452883F95F355B8E
- アルゴリズム: PBKDF2
- 反復回数: 1066
その情報に加えて、データベースを復号化するには、次のものが必要です:
- 暗号化されたDPAPIキー: レジストリ内の
NTUSER.DAT\Software\Dropbox\ks\clientで見つけることができます(このデータをバイナリとしてエクスポート) SYSTEMおよびSECURITYハイブ- DPAPIマスタキー:
\Users\<username>\AppData\Roaming\Microsoft\Protectにあります - Windowsユーザーのユーザー名とパスワード
その後、ツール DataProtectionDecryptorを使用できます:
.png)
すべてが期待通りに進めば、ツールは元のものを復元するために使用する必要がある主キーを示します。元のものを復元するには、このcyber_chefレシピを使用し、主キーをレシピ内の「パスフレーズ」として入力します。
得られた16進数は、データベースを暗号化するために使用される最終キーであり、次のように復号化できます:
sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db
config.dbx データベースには以下が含まれています:
- Email: ユーザーのメール
- usernamedisplayname: ユーザーの名前
- dropbox_path: Dropboxフォルダがあるパス
- Host_id: Hash: クラウドへの認証に使用されるハッシュ。このハッシュはウェブからのみ取り消すことができます。
- Root_ns: ユーザー識別子
filecache.db データベースには、Dropboxと同期されたすべてのファイルとフォルダに関する情報が含まれています。File_journal テーブルが最も有用な情報を持っています:
- Server_path: サーバー内のファイルがあるパス(このパスはクライアントの
host_idによって前置されます)。 - local_sjid: ファイルのバージョン
- local_mtime: 修正日
- local_ctime: 作成日
このデータベース内の他のテーブルには、さらに興味深い情報が含まれています:
- block_cache: Dropboxのすべてのファイルとフォルダのハッシュ
- block_ref:
block_cacheテーブルのハッシュIDとfile_journalテーブルのファイルIDを関連付ける - mount_table: Dropboxの共有フォルダ
- deleted_fields: Dropboxで削除されたファイル
- date_added
tip
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。