HackTricksЛокальне хмарне сховище
Reading time: 4 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.
OneDrive
В Windows ви можете знайти папку OneDrive за адресою \Users\<username>\AppData\Local\Microsoft\OneDrive. А всередині logs\Personal можна знайти файл SyncDiagnostics.log, який містить цікаві дані щодо синхронізованих файлів:
- Розмір у байтах
- Дата створення
- Дата модифікації
- Кількість файлів у хмарі
- Кількість файлів у папці
- CID: Унікальний ID користувача OneDrive
- Час генерації звіту
- Розмір жорсткого диска ОС
Після того, як ви знайдете CID, рекомендується шукати файли, що містять цей ID. Ви можете знайти файли з іменами: <CID>.ini та <CID>.dat, які можуть містити цікаву інформацію, таку як назви файлів, синхронізованих з OneDrive.
Google Drive
В Windows ви можете знайти основну папку Google Drive за адресою \Users\<username>\AppData\Local\Google\Drive\user_default
Ця папка містить файл під назвою Sync_log.log з інформацією, такою як адреса електронної пошти облікового запису, імена файлів, часові мітки, MD5 хеші файлів тощо. Навіть видалені файли з'являються в цьому лог-файлі з відповідним MD5.
Файл Cloud_graph\Cloud_graph.db є базою даних sqlite, яка містить таблицю cloud_graph_entry. У цій таблиці ви можете знайти ім'я синхронізованих файлів, час модифікації, розмір та MD5 контрольну суму файлів.
Дані таблиці бази даних Sync_config.db містять адресу електронної пошти облікового запису, шлях до спільних папок та версію Google Drive.
Dropbox
Dropbox використовує SQLite бази даних для управління файлами. У цьому
Ви можете знайти бази даних у папках:
\Users\<username>\AppData\Local\Dropbox\Users\<username>\AppData\Local\Dropbox\Instance1\Users\<username>\AppData\Roaming\Dropbox
А основні бази даних:
- Sigstore.dbx
- Filecache.dbx
- Deleted.dbx
- Config.dbx
Розширення ".dbx" означає, що бази даних є зашифрованими. Dropbox використовує DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Щоб краще зрозуміти шифрування, яке використовує Dropbox, ви можете прочитати https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Однак основна інформація:
- Ентропія: d114a55212655f74bd772e37e64aee9b
- Сіль: 0D638C092E8B82FC452883F95F355B8E
- Алгоритм: PBKDF2
- Ітерації: 1066
Окрім цієї інформації, для розшифровки баз даних вам також знадобиться:
- зашифрований ключ DPAPI: Ви можете знайти його в реєстрі за адресою
NTUSER.DAT\Software\Dropbox\ks\client(експортуйте ці дані у бінарному вигляді) SYSTEMтаSECURITYхіви- майстер-ключі DPAPI: які можна знайти за адресою
\Users\<username>\AppData\Roaming\Microsoft\Protect - ім'я користувача та пароль користувача Windows
Тоді ви можете використовувати інструмент DataProtectionDecryptor:
.png)
Якщо все пройде як очікувалося, інструмент вкаже на основний ключ, який вам потрібно використати для відновлення оригінального. Щоб відновити оригінал, просто використовуйте цей рецепт cyber_chef ставлячи основний ключ як "пароль" у рецепті.
Отриманий hex є фінальним ключем, використаним для шифрування баз даних, який можна розшифрувати за допомогою:
sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db
База даних config.dbx містить:
- Email: Електронна пошта користувача
- usernamedisplayname: Ім'я користувача
- dropbox_path: Шлях, де розташована папка dropbox
- Host_id: Hash використовується для автентифікації в хмарі. Його можна відкликати лише з вебу.
- Root_ns: Ідентифікатор користувача
База даних filecache.db містить інформацію про всі файли та папки, синхронізовані з Dropbox. Таблиця File_journal містить найбільше корисної інформації:
- Server_path: Шлях, де файл розташований на сервері (цей шлях передує
host_idклієнта). - local_sjid: Версія файлу
- local_mtime: Дата модифікації
- local_ctime: Дата створення
Інші таблиці в цій базі даних містять більш цікаву інформацію:
- block_cache: хеш усіх файлів і папок Dropbox
- block_ref: Зв'язує хеш ID таблиці
block_cacheз ID файлу в таблиціfile_journal - mount_table: Спільні папки Dropbox
- deleted_fields: Видалені файли Dropbox
- date_added
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.