로컬 클라우드 스토리지

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

OneDrive

Windows에서 OneDrive 폴더는 \Users\<username>\AppData\Local\Microsoft\OneDrive에 있습니다. 그리고 logs\Personal 안에는 동기화된 파일에 대한 흥미로운 데이터가 포함된 SyncDiagnostics.log 파일을 찾을 수 있습니다:

바이트 단위 크기
생성 날짜
수정 날짜
클라우드의 파일 수
폴더의 파일 수
CID: OneDrive 사용자 고유 ID
보고서 생성 시간
OS의 HD 크기

CID를 찾은 후에는 이 ID를 포함하는 파일을 검색하는 것이 좋습니다. <CID>.ini 및 _<CID>.dat_와 같은 이름의 파일을 찾을 수 있으며, 이 파일들은 OneDrive와 동기화된 파일의 이름과 같은 흥미로운 정보를 포함할 수 있습니다.

Windows에서 주요 Google Drive 폴더는 \Users\<username>\AppData\Local\Google\Drive\user_default에 있습니다.
이 폴더에는 계정의 이메일 주소, 파일 이름, 타임스탬프, 파일의 MD5 해시 등의 정보가 포함된 Sync_log.log라는 파일이 있습니다. 삭제된 파일도 해당 로그 파일에 해당 MD5와 함께 나타납니다.

Cloud_graph\Cloud_graph.db 파일은 sqlite 데이터베이스로, cloud_graph_entry 테이블을 포함하고 있습니다. 이 테이블에서는 동기화된 파일의 이름, 수정 시간, 크기 및 파일의 MD5 체크섬을 찾을 수 있습니다.

데이터베이스 **Sync_config.db**의 테이블 데이터에는 계정의 이메일 주소, 공유 폴더의 경로 및 Google Drive 버전이 포함되어 있습니다.

Dropbox

Dropbox는 파일 관리를 위해 SQLite 데이터베이스를 사용합니다. 이
데이터베이스는 다음 폴더에서 찾을 수 있습니다:

\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox

주요 데이터베이스는 다음과 같습니다:

Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx

“.dbx” 확장은 데이터베이스가 암호화되어 있음을 의미합니다. Dropbox는 DPAPI를 사용합니다 (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Dropbox가 사용하는 암호화를 더 잘 이해하려면 https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html을 읽을 수 있습니다.

그러나 주요 정보는 다음과 같습니다:

엔트로피: d114a55212655f74bd772e37e64aee9b
솔트: 0D638C092E8B82FC452883F95F355B8E
알고리즘: PBKDF2
반복 횟수: 1066

그 외에도 데이터베이스를 복호화하려면 다음이 필요합니다:

암호화된 DPAPI 키: NTUSER.DAT\Software\Dropbox\ks\client의 레지스트리에서 찾을 수 있습니다 (이 데이터를 이진 형식으로 내보내기)
SYSTEM 및 SECURITY 하이브
DPAPI 마스터 키: \Users\<username>\AppData\Roaming\Microsoft\Protect에서 찾을 수 있습니다
Windows 사용자의 사용자 이름 및 비밀번호

그런 다음 도구 DataProtectionDecryptor를 사용할 수 있습니다:

모든 것이 예상대로 진행되면, 도구는 원래 키를 복구하는 데 필요한 기본 키를 표시합니다. 원래 키를 복구하려면 이 cyber_chef 레시피를 사용하여 기본 키를 레시피의 “비밀번호“로 넣으면 됩니다.

결과로 나오는 헥스는 데이터베이스를 암호화하는 데 사용된 최종 키이며, 이를 복호화할 수 있습니다:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

config.dbx 데이터베이스에는 다음이 포함됩니다:

Email: 사용자의 이메일
usernamedisplayname: 사용자의 이름
dropbox_path: 드롭박스 폴더가 위치한 경로
Host_id: Hash: 클라우드에 인증하는 데 사용됩니다. 이는 웹에서만 취소할 수 있습니다.
Root_ns: 사용자 식별자

filecache.db 데이터베이스에는 드롭박스와 동기화된 모든 파일 및 폴더에 대한 정보가 포함되어 있습니다. File_journal 테이블이 가장 유용한 정보를 포함하고 있습니다:

Server_path: 서버 내에서 파일이 위치한 경로(이 경로는 클라이언트의 host_id로 선행됩니다).
local_sjid: 파일의 버전
local_mtime: 수정 날짜
local_ctime: 생성 날짜

이 데이터베이스 내의 다른 테이블에는 더 흥미로운 정보가 포함되어 있습니다:

block_cache: 드롭박스의 모든 파일 및 폴더의 해시
block_ref: block_cache 테이블의 해시 ID와 file_journal 테이블의 파일 ID를 관련짓습니다.
mount_table: 드롭박스의 공유 폴더
deleted_fields: 드롭박스에서 삭제된 파일
date_added

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.