Mit welchem ​​Algorithmus wird der 32-Bit-Kennwortschlüssel in einem bearbeitungsgeschützten Microsoft Office-Dokument (insbesondere Word-Dokument) erstellt?

0

Wenn Sie ein älteres Word-Dokument (.doc-Ära) mit Bearbeitungsschutz speichern, finden Sie den in der Datei gespeicherten Kennwortschlüssel.

Zur Vereinfachung kann dies durch Speichern in einer XML- oder HTML-Datei und Überprüfen der Textquelle erreicht werden. Mit dem Passwort "password" finden Sie beispielsweise Folgendes in der Quelle:

<w:documentProtection w:edit="forms" w:enforcement="on" w:unprotectPassword="147A83AF"/>

Welcher Algorithmus wird verwendet, um diesen Schlüssel zu erzeugen, der ein 32-Bit-Hexadezimalwert zu sein scheint?

Irgendein Typ
quelle
Das ist kein Hash, der von einem modernen Algorithmus erstellt wurde. es ist viel zu kurz. Beispiele für viele gebräuchliche Hashes finden Sie hier: hashcat.net/wiki/doku.php?id=example_hashes
Frank Thomas
@Seth Bei dieser Frage geht es um die Dokumentverschlüsselung im neuen Office-Format. Ich
frage
Es geht zurück auf Pre-Windows 2007. Wenn das nicht alt genug ist, müssen Sie genauer sein.
Seth
@seth Ich spreche von dem Schlüssel, der im DOC-Format enthalten ist, dh dem nativen Format von Word 2003 und früher (immer noch in allen modernen Office-Versionen verfügbar, zusammen mit anderen zugehörigen Legacy-Formaten) geht es nicht um verschlüsselte Dateien, sondern bearbeiten geschützt.
Some_Guy

Antworten:

0

Ich kann diese Ausgabe mit einer aktuellen Office-Installation nicht reproduzieren. Zumindest sollte dieser Wert steht für „Passwort“ nach dieser .

Unter Berücksichtigung dieser Quellen:

Es sieht so aus, als ob diese älteren Versionen eine Kombination aus Hashing und Verschlüsselung verwenden. Es scheint, als müssten Sie ein bisschen mehr über die Datei nachdenken, um herauszufinden, welche Art von Kombination sie tatsächlich verwendet.

InfoSecSee hat diesbezüglich ein recht schönes Bild: Dokumentation zum InfoSecSee Office-Kennwortalgorithmus

Dies scheint mit der Liste von PenTestCorner übereinzustimmen:

  • Office 97-03 (MD5 + RC4, altes Büro $ 0, altes Büro $ 1): Flag -m 9700
  • Office 97-03 (MD5 + RC4, Collider-Modus Nr. 1): Flag -m 9710
  • Office 97-03 (MD5 + RC4, Collider-Modus # 2): Flag -m 9720
  • Büro 97-03 (SHA1 + RC4, altes Büro $ 3, altes Büro $ 4): Flag -m 9800
  • Office 97-03 (SHA1 + RC4, Collider-Modus Nr. 1): Flag -m 9810
  • Office 97-03 (SHA1 + RC4, Collider-Modus # 2): Flag -m 9820
  • Office 2007: Flag -m 9400
  • Office 2010: Flag -m 9500
  • Büro 2013: Flagge -m 9600

Sie müssen überprüfen, wie "Office2John" oder Hashcat implementiert ist, um herauszufinden, wie Sie den verwendeten Algorithmus ermitteln können.

Seth
quelle
Die einfachste Möglichkeit zur Reproduktion besteht darin, ein Dokument in einem älteren XML-Format zu speichern. Wählen Sie im Menü "Speichern unter" "Word 2003-XML-Dokument" aus und öffnen Sie es in einem Texteditor. Sie finden den gleichen Schlüssel auch in der Binärdatei, aber in umgekehrter Reihenfolge (dh wenn Sie mit einem Hex-Editor prüfen, würde der Schlüssel 12 34 56 78 zu 78 56 34 12 werden)
Some_Guy