我的任务要求我找到 PowerPoint 文件的密码(97 - 2003,v. 8.0 - v. 11.0)。
我使用 office2john.py 来检索哈希,并删除了文件名。
哈希是:
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a
hashcat然后我使用以下命令将哈希放入:
hashcat64.exe -m 9800 -a 3 s.hash ?l?l?l?l?l?l?l?l -D 1,2 -w 4
hashcat破解它并给了我密码,但是当我在 PowerPoint 中插入密码时,它说密码错误(iemuzqau)。
我做错什么了吗?
MS Office 97-2003 的密码哈希容易受到冲突攻击。也就是说,存在应该能够打开文档的多个密码。
这也意味着密码“iemuzqau”不一定是作者设置的原始密码。它只是应该接受的密码之一,因为它与内部方案匹配以检查密码是否正确。
对于您获得的 $3 类型哈希,hashcat 方法 9810 和 9820 可用于比原始蛮力(模式 9800)更快地创建密码候选者。根据应该通过首先执行以下命令来工作的链接线程:
hashcat64.exe -m 9810 -w 3 s.hash -o hash.rc4 -a 3 ?b?b?b?b?b
输出将类似于:
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd
然后您获取该命令的输出并执行:
hashcat64.exe -m 9820 -w 3 hash.rc4 -a 3 ?l?l?l?l?l?l?l?l?l?l --increment
这将产生以下输出:
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:iemuzqau
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:cvsfjkwoa
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:yrmbatnya
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:mzvmxmyke
...
9820模式是“不断破解”的模式。也就是说,它不会在第一次匹配后停止输出有效密码。此行为最近已更改,因此您可能必须--keep-guessing在命令行上指定,具体取决于您使用的版本。
这并不能解释为什么 PowerPoint 不接受您的密码,因为只有有效的候选人才应该由hashcat. 但也许您可以使用所描述的工作流程来生成额外的有效密码并尝试它们。