web-dev-qa-db-fra.com

J'ai trouvé un mot de passe avec hashcat, mais cela ne fonctionne pas

Ma mission m'a obligé à trouver le mot de passe d'un fichier PowerPoint ( 97 - 20 , v. 8.0 - v. 11.0).

J'ai utilisé office2john.py pour récupérer le hachage et j'ai supprimé le nom du fichier.

Le hachage est:

$ oldoffice 3 $ * 1b085471a28011c5348c5f0b8f29d24e * 99294d3ebc790cfc325cca851f56d433 * 9e3556d0775d0aa198060a815be7be4c58e1fe2a

Ensuite, je mets le hachage dans hashcat avec la commande suivante:

hashcat64.exe  -m 9800 -a 3  s.hash ?l?l?l?l?l?l?l?l -D 1,2 -w 4

hashcat l'a craqué et m'a donné le mot de passe, mais quand j'insère le mot de passe dans PowerPoint, il dit que le mot de passe est incorrect ( iemuzqau ) .

Est-ce que j'ai fait quelque chose de mal?

63
Fabius

Les hachages de mot de passe pour MS Office 97-2003 sont vulnérables aux attaques par collision . Autrement dit, il existe plusieurs mots de passe qui devraient pouvoir ouvrir le document.

Cela signifie également que le mot de passe "iemuzqau" n'est pas nécessairement le mot de passe d'origine défini par l'auteur. Ce n'est qu'un des mots de passe qui doivent être acceptés, car il correspond au schéma interne pour vérifier le mot de passe correct.

Pour le hachage de type 3 $ que vous avez obtenu, les méthodes de hachage 9810 et 9820 peuvent être utilisées pour créer des candidats de mot de passe plus rapidement que la force brute brute (mode 9800). Selon le thread lié qui devrait fonctionner en exécutant d'abord la commande suivante:

hashcat64.exe -m 9810 -w 3 s.hash -o hash.rc4 -a 3 ?b?b?b?b?b

La sortie sera quelque chose comme:

 $oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd

Ensuite, vous prenez la sortie de cette commande et exécutez:

hashcat64.exe -m 9820 -w 3 hash.rc4 -a 3 ?l?l?l?l?l?l?l?l?l?l --increment

Cela produira alors la sortie suivante:

$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:iemuzqau
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:cvsfjkwoa
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:yrmbatnya
$oldoffice$3*1b085471a28011c5348c5f0b8f29d24e*99294d3ebc790cfc325cca851f56d433*9e3556d0775d0aa198060a815be7be4c58e1fe2a:5ffd0b24bd:mzvmxmyke
...

Le mode 9820 est un mode qui "continue de craquer". Autrement dit, il n'arrêtera pas la sortie de mots de passe valides après la première correspondance. Ce comportement était modifié récemment vous devrez donc peut-être spécifier --keep-guessing sur votre ligne de commande, selon la version que vous utilisez.

Cela n'explique pas pourquoi votre mot de passe n'est pas accepté par PowerPoint car seuls les candidats valides doivent être générés par hashcat. Mais vous pouvez peut-être utiliser le workflow décrit pour générer des mots de passe valides supplémentaires et les essayer.

95
Denis