Quale algoritmo viene utilizzato per produrre la chiave di password a 32 bit in un documento Microsoft Office (in particolare word) protetto da modifica?


0

Se si salva un documento word legacy (.doc era) con protezione dalla modifica, è possibile trovare la chiave della password memorizzata nel file.

Per semplicità, questo può essere trovato salvando in un file .xml o .html e ispezionando l'origine del testo (ma puoi anche estrarlo dal .doc originale con un editor esadecimale). Ad esempio, con la password "password", nella sorgente troverai quanto segue:

<w:documentProtection w:edit="forms" w:enforcement="on" w:unprotectPassword="147A83AF"/>

Quale algoritmo viene utilizzato per produrre questa chiave, che sembra essere un esadecimale a 32 bit?



quello non è un hash creato da un moderno algoritmo. è troppo breve. vedi qui per esempi di molti hash comuni: hashcat.net/wiki/doku.php?id=example_hashes
Frank Thomas,

@Seth Quella domanda riguarda la crittografia dei documenti nel nuovo formato dell'ufficio, sto chiedendo della protezione con password per i file non crittografati nel formato dell'ufficio legacy
Some_Guy

Risale a Pre-Windows 2007. Se non è abbastanza vecchio, dovrai essere più specifico.
Seth,

@seth Sto parlando della chiave inclusa nel formato .doc, ovvero il formato nativo di Word 2003 e precedenti (ancora disponibile in tutte le versioni moderne di Office, insieme ad altri formati legacy associati) e, per essere doppiamente chiaro, questo non si tratta di file crittografati, ma di modifica protetta.
Some_Guy

Risposte:


0

Non riesco a riprodurre quell'output con un'installazione di Office corrente. Almeno quel valore dovrebbe significare "password" secondo questo .

Tenendo conto di queste fonti:

Sembra che quelle versioni precedenti stiano usando una combinazione di Hashing e Crittografia. Sembrerebbe che dovresti controllare un po 'di più il file per capire quale tipo di combinazione sta effettivamente usando.

InfoSecSee ha una bella foto a riguardo: Documentazione dell'algoritmo password di InfoSecSee Office

Questo sembra corrispondere all'elenco di PenTestCorner:

  • Office 97-03 (MD5 + RC4, oldoffice $ 0, oldoffice $ 1): flag -m 9700
  • Office 97-03 (MD5 + RC4, modalità collider n. 1): flag -m 9710
  • Office 97-03 (MD5 + RC4, modalità collider n. 2): flag -m 9720
  • Office 97-03 (SHA1 + RC4, oldoffice $ 3, oldoffice $ 4): flag -m 9800
  • Office 97-03 (SHA1 + RC4, modalità collider n. 1): flag -m 9810
  • Office 97-03 (SHA1 + RC4, modalità collider # 2): flag -m 9820
  • Office 2007: flag -m 9400
  • Office 2010: flag -m 9500
  • Office 2013: flag -m 9600

Dovresti controllare le specifiche su come viene implementato "Office2John" o hashcat per capire ulteriormente come determinare quale algoritmo viene utilizzato ecc.


Il modo più semplice per riprodurlo è salvare un documento in un formato .xml legacy. Nel menu Salva come, selezionare "documento xml di Word 2003", quindi aprirlo in un editor di testo e ctrl f per "password". Troverai anche la stessa chiave nel binario ma al contrario, in senso byte (cioè se controlli con un editor esadecimale la chiave 12 34 56 78 diventerebbe 78 56 34 12)
Some_Guy
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.