HackTricksHifadhi ya Wingu ya Mitaa
Reading time: 4 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
OneDrive
Katika Windows, unaweza kupata folda ya OneDrive katika \Users\<username>\AppData\Local\Microsoft\OneDrive. Na ndani ya logs\Personal inawezekana kupata faili SyncDiagnostics.log ambayo ina data za kuvutia kuhusu faili zilizohusishwa:
- Ukubwa kwa bytes
- Tarehe ya kuundwa
- Tarehe ya mabadiliko
- Idadi ya faili katika wingu
- Idadi ya faili katika folda
- CID: Kitambulisho cha kipekee cha mtumiaji wa OneDrive
- Wakati wa kuzalisha ripoti
- Ukubwa wa HD wa OS
Mara tu unapopata CID inashauriwa kutafuta faili zinazohusisha ID hii. Unaweza kupata faili zenye jina: <CID>.ini na <CID>.dat ambazo zinaweza kuwa na taarifa za kuvutia kama majina ya faili zilizohusishwa na OneDrive.
Google Drive
Katika Windows, unaweza kupata folda kuu ya Google Drive katika \Users\<username>\AppData\Local\Google\Drive\user_default
Folda hii ina faili inayoitwa Sync_log.log yenye taarifa kama anwani ya barua pepe ya akaunti, majina ya faili, alama za wakati, MD5 hashes za faili, nk. Hata faili zilizofutwa zinaonekana katika faili hiyo ya logi na MD5 inayohusiana.
Faili Cloud_graph\Cloud_graph.db ni database ya sqlite ambayo ina jedwali cloud_graph_entry. Katika jedwali hili unaweza kupata jina la faili zilizohusishwa, wakati wa mabadiliko, ukubwa, na MD5 checksum za faili.
Data za jedwali la database Sync_config.db zina anwani ya barua pepe ya akaunti, njia za folda zilizoshirikiwa na toleo la Google Drive.
Dropbox
Dropbox hutumia databases za SQLite kusimamia faili. Katika hii
Unaweza kupata databases katika folda:
\Users\<username>\AppData\Local\Dropbox\Users\<username>\AppData\Local\Dropbox\Instance1\Users\<username>\AppData\Roaming\Dropbox
Na databases kuu ni:
- Sigstore.dbx
- Filecache.dbx
- Deleted.dbx
- Config.dbx
Kipengele ".dbx" kinamaanisha kwamba databases zime siri. Dropbox hutumia DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Ili kuelewa vizuri usimbuaji ambao Dropbox hutumia unaweza kusoma https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Hata hivyo, taarifa kuu ni:
- Entropy: d114a55212655f74bd772e37e64aee9b
- Salt: 0D638C092E8B82FC452883F95F355B8E
- Algorithm: PBKDF2
- Iterations: 1066
Mbali na taarifa hiyo, ili kufungua databases bado unahitaji:
- funguo ya DPAPI iliyosimbwa: Unaweza kuipata katika rejista ndani ya
NTUSER.DAT\Software\Dropbox\ks\client(hamasisha data hii kama binary) SYSTEMnaSECURITYhives- funguo kuu za DPAPI: Ambazo zinaweza kupatikana katika
\Users\<username>\AppData\Roaming\Microsoft\Protect - jina la mtumiaji na nenosiri la mtumiaji wa Windows
Kisha unaweza kutumia chombo DataProtectionDecryptor:
.png)
Ikiwa kila kitu kinaenda kama inavyotarajiwa, chombo kitatoa funguo kuu ambayo unahitaji kutumia ili kurejesha ile ya awali. Ili kurejesha ile ya awali, tumia tu mapishi ya cyber_chef ukitumia funguo kuu kama "nenosiri" ndani ya mapishi.
Hex inayotokana ni funguo ya mwisho inayotumika kusimbua databases ambazo zinaweza kufunguliwa na:
sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db
The config.dbx database contains:
- Email: Barua pepe ya mtumiaji
- usernamedisplayname: Jina la mtumiaji
- dropbox_path: Njia ambapo folda ya dropbox iko
- Host_id: Hash inayotumika kuthibitisha kwenye wingu. Hii inaweza kufutwa tu kutoka kwenye wavuti.
- Root_ns: Kitambulisho cha mtumiaji
The filecache.db database contains information about all the files and folders synchronized with Dropbox. The table File_journal is the one with more useful information:
- Server_path: Njia ambapo faili iko ndani ya seva (hii njia inatanguliwa na
host_idya mteja). - local_sjid: Toleo la faili
- local_mtime: Tarehe ya mabadiliko
- local_ctime: Tarehe ya kuunda
Other tables inside this database contain more interesting information:
- block_cache: hash ya faili na folda zote za Dropbox
- block_ref: Inahusisha kitambulisho cha hash cha jedwali
block_cachena kitambulisho cha faili katika jedwalifile_journal - mount_table: Shiriki folda za dropbox
- deleted_fields: Faili zilizofutwa za Dropbox
- date_added
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.