چگونه و چطور

نحوه کرک کردن فایل های رمزنگاری شده Microsoft Office

  • user بهنام خدابخشی
  • calender 1 اردیبهشت ماه 1398
  • comments 0 دیدگاه
Microsoft Office

فایل های مایکروسافت آفیس می توانند برای جلوگیری از دستکاری و افزایش اطمینان کاربران در برابر سو استفاده ی افراد سودجو؛ امنیت آن ها از طریق رمز عبور تامین شود. اما اسناد محافظت شده با رمز عبور در نسخه های قبلی Office دارای یک سری باگ امنیتی مب اشند که هش های آن ها با استفاده از یک نرم افزار ساده به نام office2john از بین می رود. سپس هش های استخراج شده می توانند با استفاده از نرم افزارهای John the Ripper و Haskat کرک شوند.

استخراج هش از یک پرونده ی مایکروسافت آفیس محافظت شده با رمز عبور تنها چند ثانیه با نرم افزار Office2john زمان می برد. در حالی که استاندارد رمزگذاری در سراسر محصولات مختلف آفیس در طول سال ها تغییراتی را داشته است ولی هیچ یک از آن ها قادر به مقاومت در برابر هش نبوده اند.

این نرم افزارها با پایتون نوشته شده اند و به طور مستقیم می توانند از طریق ترمینال اجرا گردند. بر اساس سازگاری های آفیس، این گونه مشخص است که بر روی هر یک از فایل های محافظت شده با کلمه عبور از Word، Excel، PowerPoint، OneNote، Project، Access و Outlook که با استفاده از Office 97، Office 2000، Office XP، Office 2003، Office 2007، Office 2010 و Office 2013، و همچنین نسخه Office سیستم عامل مک نوشته شده اند، قابل استفاده می باشد. ممکن است در نسخه های جدیدتر Office این رمزگذاری ها کار نکنند، اما ما فایل DOCX را در Office 2016 ذخیره کردیم تا با عنوان Office 2013 نامگذاری گردد.

گام اول: نصب نرم افزار Office2John

برای شروع، ما احتیاج داریم تا ابزارهای خود را از GitHub دانلود کنیم، زیرا نرم افزار office2john در نسخه استاندارد John the Ripper (که قبلا در سیستم Kali شما نصب شده است) وجود ندارد. این کار به راحتی می تواند با استفاده از wget انجام شود.

wget https://raw.githubusercontent.com/magnumripper/JohnTheRipper/bleeding-jumbo/run/office2john.py
--2019-02-05 14:34:45--  https://raw.githubusercontent.com/magnumripper/JohnTheRipper/bleeding-jumbo/run/office2john.py
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.148.133
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)|151.101.148.133|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 131690 (129K) [text/plain]
Saving to: ‘office2john.py’

office2john.py                        100%[=======================================================================>] 128.60K  --.-KB/s    in 0.09s

2019-02-05 14:34:46 (1.45 MB/s) - ‘office2john.py’ saved [131690/131690]

گام دوم: اطمینان حاصل کنید همه چیز در همان دایرکتوری وجود دارند

به منظور اجرای نرم افزار office2john با استفاده از پایتون، ما باید به همان دایرکتوری که این نرم افزار را نصب کردیم مراجعه نماییم. برای اکثر کاربران، این حالت به صورت پیش فرض بر روی صفحه اصلی (فقط CD را وارد کنید) قرار دارد، اما به راحتی می توانید یک شاخه ی جداگانه ایجاد کنید.

اکنون باید یک پرونده مناسب برای آزمایش را در اختیار داشته باشید. ما از یک فایل DOCX ساده با نام “dummy.docx” استفاده کردیم که با Word 2007 ایجاد شده و با رمز عبور نیز محافظت می شود. می توانید این فایل را دانلود کرده و به همراه داشته باشید. رمز عبور این فایل “password123” است که شما می توانید به راحتی آن را پیدا کنید. شما همچنین می توانید اسناد هایی را که در Word 2010 و Word 2016 ساخته شده اند (که تا سال 2013 نشان داده می شوند) دانلود کنید تا برای مثال های بیشتری استفاده کنید. رمزهای عبور آنها نیز “password123” می باشد.

گام سوم: استخراج هش با نرم افزار Office2john

اولین کاری که ما باید انجام بدهیم این است که هش را از پرونده ی آفیس محافظت شده با رمز عبور، استخراج کنیم. دستور زیر را اجرا کنید و خروجی را به “hash.txt” وارد کنید تا بعدا مورد استفاده قرار بگیرد.

python office2john.py dummy.docx > hash.txt

برای تایید اینکه هش با موفقیت استخراج شده، از cat command استفاده کنید. ما می بینیم که هش ذخیره شده مربوط به مایکروسافت آفیس 2007 می باشد.

cat hash.txt
dummy.docx:$office$*2007*20*128*16*a7c7a4eadc2d90fb22c073c6324b6b49*abc5f80409f5f96f97e184e44aacd0b7*930b0c48a7eb5e13a57af4f3030b48e9402b6870

گام چهارم: کرک کردن هش ذخیره شده

همانطور که قبلا ذکر کردیم، دو راه برای شکستن هش از پرونده ی مایکروسافت آفیس که با رمز عبور محافظت شده است، داریم. هر دو روش به خوبی عمل می کنند، بنابراین بستگی دارد که شما کدام روش را ترجیح می دهید.

گزینه اول: کرک کردن با نرم افزار John

دستور –wordlist را با محل لیست کلمه مورد نظر خود تنظیم نمایید. یکی از آن هایی که با Nmap همراه است، برای تنظیم اهداف ما در این بخش انجام خواهد شد، اما برای کلمات عبور سخت تر، ممکن است لازم باشد یک لیست گسترده تر از کلمات داشته باشید.

john --wordlist=/usr/share/wordlists/nmap.lst hash.txt
Using default input encoding: UTF-8
Loaded 1 password hash (Office, 2007/2010/2013 [SHA1 128/128 SSE2 4x / SHA512 128/128 SSE2 2x AES])
Cost 1 (MS Office version) is 2007 for all loaded hashes
Cost 2 (iteration count) is 50000 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status

این نرم افزار شروع به کرک کردن می کند و بسته به میزان پیچیدگی رمز عبور، زمانی که یک پارت اجرا می شود، فرآیند پایان می یابد. تقریبا می توانید هر کلید را برای مشاهده وضعیت فعلی فشار دهید. هنگامی که هش شکسته شد، یک پیام بر روی صفحه نمایش با رمز عبور فایل برای شما نمایش داده می شود: از آنجا که رمز عبور ما بسیار ساده بود، تنها چند ثانیه برای کرک کردن آن طول کشید.

password123      (dummy.docx)
1g 0:00:00:03 DONE (2019-02-05 15:00) 0.2824g/s 415.8p/s 415.8c/s 415.8C/s lacoste..cooldude
Use the "--show" option to display all of the cracked passwords reliably
Session completed

همچنین ما می توانیم از گزینه -show برای نمایش دادن آن استفاده نماییم، مانند:

john --show hash.txt
dummy.docx:password123

1 password hash cracked, 0 left

اکنون ما یک روش از کرک کردن فایل های آفیس را می دانیم ولی می دانیم که روش دیگری نیز وجود دارد و می توانید با استفاده از این روش نیز اقدام کنید. این روش قدرتمند روش Hashcat می باشد.

بیشتر بخوانید  مایکروسافت به دنبال افزودن تبلیغات برای چت بات بینگ است

گزینه دوم: کرک کردن با روش Hashcat

ما می توانیم با نمایش منوی راهنما (–help) برای هش ها آغاز کنیم. این کار به ما اطلاعات بسیاری از جمله گزینه های مورد استفاده، حالت های مختلف هش و سایر ویژگی ها را ارائه می دهد. حجم بسیار زیادی از اطلاعات در اینجا وجود دارد، بنابراین ما خروجی را نشان نخواهیم داد، اما اگر شما واقعا میخواهید هش ها را بدانید، باید خودتان وارد شوید.

hashcat --help

از بخش خروجی، ما تنها علاقه مند به حالت های هش MS Office هستیم. در نزدیکی پایین منوی راهنما، گزینه های حالت MS Office و شماره های مربوطه آن ها را مشاهده خواهید کرد. ما از طریق هش ها می دانیم که مربوط به یک فایل Office 2007 می باشد، بنابراین شماره ID آن را از میان 9400 هش پیدا کنید.

9700 | MS Office <= 2003 $0/$1, MD5 + RC4               | Documents
9710 | MS Office <= 2003 $0/$1, MD5 + RC4, collider #1  | Documents
9720 | MS Office <= 2003 $0/$1, MD5 + RC4, collider #2  | Documents
9800 | MS Office <= 2003 $3/$4, SHA1 + RC4              | Documents
9810 | MS Office <= 2003 $3, SHA1 + RC4, collider #1    | Documents
9820 | MS Office <= 2003 $3, SHA1 + RC4, collider #2    | Documents
9400 | MS Office 2007                                   | Documents
9500 | MS Office 2010                                   | Documents
9600 | MS Office 2013                                   | Documents

اکنون می توانیم بقیه گزینه ها را با استفاده از دستور زیر تنظیم کنیم.

hashcat -a 0 -m 9400 --username -o cracked_pass.txt hash.txt /usr/share/wordlists/nmap.lst
  • پرچم -a نوع حمله را به عنوان حالت پیش فرض مستقیم از 0 تعیین می کند.
  • پرچم -m حالت مورد نظر ما را مشخص می کند که ما آن را پیدا کردیم.
  • گزینه –username هر نام کاربری در فایل هش را نادیده می گیرد.
  • ما می توانیم فایل خروجی را cracked.txt با پرچم -o مشخص کنیم.
  • و در نهایت، ما می توانیم از طریق فایل hash.txt حاوی هش عبور کنیم و لیستی از کلمات را همانطور که قبلا انجام دادیم تنظیم نماییم.

Hashcat اکنون آغاز به کرک کردن می نماید.

hashcat (v5.1.0) starting...

* Device #2: Not a native Intel OpenCL runtime. Expect massive speed loss.
             You can use --force to override, but do not report related errors.
OpenCL Platform #1: Intel(R) Corporation
========================================
* Device #1: Intel(R) Core(TM) i5 CPU       M 480  @ 2.67GHz, 934/3736 MB allocatable, 4MCU

...

پس از گذشت مدت زمان کوتاهی، وضعیت به صورت کرک شده نشان داده می شود و ما آماده ی مشاهده ی رمز عبور هستیم.

Session..........: hashcat
Status...........: Cracked
Hash.Type........: MS Office 2007
Hash.Target......: $office$*2007*20*128*16*a7c7a4eadc2d90fb22c073c6324...2b6870
Time.Started.....: Tue Feb  5 15:08:00 2019 (4 secs)
Time.Estimated...: Tue Feb  5 15:08:04 2019 (0 secs)
Guess.Base.......: File (/usr/share/wordlists/nmap.lst)
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........:      610 H/s (8.51ms) @ Accel:512 Loops:128 Thr:1 Vec:4
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 2048/5084 (40.28%)
Rejected.........: 0/2048 (0.00%)
Restore.Point....: 0/5084 (0.00%)
Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:49920-50000
Candidates.#1....: #!comment:  ***********************IMPORTANT NMAP LICENSE TERMS************************ -> Princess

Started: Tue Feb  5 15:07:50 2019
Stopped: Tue Feb  5 15:08:05 2019

به سادگی فایل خروجی Cat مشخص می شود و هش را با یک رمز عبور ساده در پایان نشان می دهد.

cat cracked_pass.txt
$office$*2007*20*128*16*a7c7a4eadc2d90fb22c073c6324b6b49*abc5f80409f5f96f97e184e44aacd0b7*930b0c48a7eb5e13a57af4f3030b48e9402b6870:password123

موفق شدید! هم اکنون دو روش برای کرک کردن هش پس از استخراج آن از یک فایل Microsoft Office محافظت شده با رمز عبور از طریق نرم افزار office2john را آموزش دیدید.

 

بیشتر بخوانید

 

در ادامه با زوم تک همراه باشید …

 

منبع: null-byte.wonderhowto

به این پست امتیاز بدید

مطالب مرتبط

نظرات در مورد : نحوه کرک کردن فایل های رمزنگاری شده Microsoft Office

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *