Какой алгоритм используется для создания 32-битного ключа пароля в защищенном от редактирования офисе Microsoft Office (в частности, в документе Word)?

Question

Если вы сохраните документ с устаревшей версией (.doc era) с защитой от редактирования, вы сможете найти ключ пароля, хранящийся в файле.

Для простоты это можно найти, сохранив файл .xml или .html и проверив источник текста (но вы также можете извлечь его из исходного .doc с помощью шестнадцатеричного редактора). Например, с паролем "пароль", вы найдете следующее в источнике:

<w:documentProtection w:edit="forms" w:enforcement="on" w:unprotectPassword="147A83AF"/>

Какой алгоритм используется для создания этого ключа, который представляется 32-битным шестнадцатеричным?

Answer 1

Я не могу воспроизвести этот вывод с текущей установкой Office. По крайней мере, это значение должно означать "пароль" в соответствии с этим.

Принимая во внимание эти источники:

• PenTestCorner - Взлом Microsoft Office (97-03, 2007, 2010, 2013) хэши паролей с помощью Hashcat
• InfoSecSee - взлом защищенных паролем документов Word, Excel и Powerpoint

Похоже, что эти старые версии используют комбинацию хеширования и шифрования. Казалось бы, вам нужно немного больше проверить файл, чтобы выяснить, какую комбинацию он использует на самом деле.

InfoSecSee имеет довольно хорошую картину в отношении этого:

Это похоже на список из PenTestCorner:

• Офис 97-03(MD5+RC4, oldoffice $ 0, oldoffice $ 1): flag -m 9700
• Офис 97-03(MD5+RC4, режим коллайдера № 1): флаг -m 9710
• Офис 97-03(MD5+RC4, режим коллайдера № 2): флаг -m 9720
• Офис 97-03(SHA1+RC4, oldoffice $ 3, oldoffice $ 4): flag -m 9800
• Офис 97-03(SHA1+RC4, режим коллайдера # 1): флаг -m 9810
• Офис 97-03(SHA1+RC4, режим коллайдера № 2): флаг -m 9820
• Office 2007: флаг -m 9400
• Office 2010: флаг -m 9500
• Office 2013: флаг -m 9600

Вы должны проверить подробности того, как реализован "Office2John" или hashcat, чтобы выяснить, как определить, какой алгоритм используется и т.д.