it-swarm-eu.dev

Ho trovato una password con hashcat, ma non funziona

Il mio incarico mi ha richiesto di trovare la password per un file PowerPoint ( 97 - 20 , v. 8.0 - v. 11.0).

Ho usato office2john.py per recuperare l'hash e ho rimosso il nome del file.

L'hash è:

$ Oldoffice $ 3 * * 1b085471a28011c5348c5f0b8f29d24e 99294d3ebc790cfc325cca851f56d433 9e3556d0775d0aa198060a815be7be4c58e1fe2a *

Quindi inserisco l'hash in hashcat con il seguente comando:

hashcat64.exe  -m 9800 -a 3  s.hash ?l?l?l?l?l?l?l?l -D 1,2 -w 4

hashcat l'ha decifrato e mi ha dato la password, ma quando inserisco la password in PowerPoint dice che la password è sbagliata ( iemuzqau ) .

Ho fatto qualcosa di male?

63
Fabius

Gli hash delle password per MS Office 97-2003 sono vulnerabili agli attacchi di collisione . Cioè, esistono più password che dovrebbero essere in grado di aprire il documento.

Ciò significa anche che la password "iemuzqau" non è necessariamente la password originale impostata dall'autore. È solo una delle password che dovrebbero essere accettate, perché corrisponde allo schema interno per verificare la password corretta.

Per l'hash di tipo $ 3 che hai ottenuto, i metodi hashcat 9810 e 9820 possono essere usati per creare candidati con password più velocemente della forza bruta grezza (modalità 9800). Secondo il thread collegato che dovrebbe funzionare eseguendo prima il comando seguente:

hashcat64.exe -m 9810 -w 3 s.hash -o hash.rc4 -a 3 ?b?b?b?b?b

L'output sarà simile a:

 $oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd

Quindi prendi l'output di quel comando ed esegui:

hashcat64.exe -m 9820 -w 3 hash.rc4 -a 3 ?l?l?l?l?l?l?l?l?l?l --increment

Questo produrrà quindi il seguente output:

$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:iemuzqau
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:cvsfjkwoa
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:yrmbatnya
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:mzvmxmyke
...

La modalità 9820 è una modalità che "continua a incrinarsi". Cioè, non smetterà di emettere password valide dopo la prima partita. Questo comportamento era modificato di recente quindi potresti dover specificare --keep-guessing nella riga di comando, a seconda della versione in uso.

Ciò non spiega perché la tua password non sia accettata da PowerPoint poiché solo i candidati validi dovrebbero essere generati da hashcat. Ma forse puoi usare il flusso di lavoro descritto per generare password valide aggiuntive e provarle.

95
Denis