Cara Meretas File Microsoft Office Yang Dilindungi Kata Sandi Termasuk Word Docs Dan Excel Spreadsheets

"File Microsoft Office dapat dilindungi kata sandi untuk mencegah gangguan dan memastikan integritas data.Tetapi dokumen yang dilindungi kata sandi dari versi Office sebelumnya rentan terhadap hash mereka diekstraksi dengan program sederhana bernama office2john.Hash yang diekstraksi kemudian dapat dipecahkan menggunakan John the Ripper dan Hashcat."

Mengekstrak hash dari file Microsoft Office yang dilindungi kata sandi hanya membutuhkan beberapa detik dengan alat office2john. Sementara standar enkripsi di berbagai produk Office berfluktuasi selama bertahun-tahun dimana tidak satu pun dari mereka yang tahan terhadap kemampuan mencuri hash office2john.

Alat ini ditulis dengan Python dan dapat dijalankan langsung dari terminal. Adapun kompatibilitas Office diketahui berfungsi pada file yang dilindungi kata sandi dari Word, Excel, PowerPoint, OneNote, Project, Access, dan Outlook yang dibuat menggunakan Office 97, Office 2000, Office XP, Office 2003, Office 2007, Office 2010, dan Office 2013, termasuk versi Office untuk Mac. Hal itu mungkin tidak berfungsi pada versi Office yang lebih baru dimana kami menyimpan DOCX di Office 2016 yang diberi label Office 2013.

Langkah 1Instal Office2John

Untuk memulai kita perlu mengunduh alat dari GitHub karena office2john tidak termasuk dalam versi standar John the Ripper yang seharusnya sudah diinstal dalam sistem Kali Anda). Ini dapat dengan mudah dicapai dengan wget.

wget https://raw.githubusercontent.com/magnumripper/JohnTheRipper/bleeding-jumbo/run/office2john.py

--2019-02-05 14:34:45--  https://raw.githubusercontent.com/magnumripper/JohnTheRipper/bleeding-jumbo/run/office2john.py
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.148.133
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)|151.101.148.133|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 131690 (129K) [text/plain]
Saving to: ‘office2john.py’

office2john.py                        100%[=======================================================================>] 128.60K  --.-KB/s    in 0.09s

2019-02-05 14:34:46 (1.45 MB/s) - ‘office2john.py’ saved [131690/131690]

Langkah 2Pastikan Semuanya Ada di Direktori yang Sama

Untuk menjalankan office2john dengan Python dan kita perlu mengubah ke direktori yang sama dengan yang diinstal. Bagi sebagian besar dari Anda, ini akan menjadi Rumah secara default (cukup masukkan cd ), tetapi jangan ragu untuk membuat direktori yang terpisah.

Selanjutnya kita perlu file yang sesuai untuk menguji ini. Saya menggunakan file DOCX sederhana bernama "dummy.docx" yang saya buat dan dilindungi kata sandi dengan Word 2007. Unduh untuk mengikuti. Kata sandi adalah "kata sandi123" karena Anda akan mengetahuinya. Anda juga dapat mengunduh dokumen yang dibuat dengan Word 2010 dan Word 2016 (yang muncul sebagai 2013) untuk digunakan untuk lebih banyak contoh. Kata sandi untuk mereka juga "kata sandi123."

Langkah 3Ekstrak Hash dengan Office2john

Hal pertama yang perlu kita lakukan adalah mengekstrak hash dari file Office yang dilindungi kata sandi. Jalankan perintah berikut dan pipa output ke "hash.txt" untuk digunakan nanti.

python office2john.py dummy.docx > hash.txt

Untuk memverifikasi bahwa hash berhasil diekstraksi maka gunakan perintah cat. Kita dapat melihat bahwa hash yang saya simpan terkait dengan Microsoft Office 2007.

cat hash.txt

dummy.docx:$office$*2007*20*128*16*a7c7a4eadc2d90fb22c073c6324b6b49*abc5f80409f5f96f97e184e44aacd0b7*930b0c48a7eb5e13a57af4f3030b48e9402b6870

Langkah 4Pecahkan Hash yang Baru Anda Simpan

Seperti yang telah disebutkan maka kami akan menunjukkan kepada Anda dua cara untuk memecahkan hash yang baru saja Anda simpan dari file Microsoft Office yang dilindungi kata sandi. Kedua metode ini bekerja dengan sangat baik jadi ini sesuai dengan preferensi.

Opsi 1Bercak dengan John

Atur bendera --wordlist dengan lokasi daftar kata favorit Anda. Yang disertakan dengan Nmap akan melakukan untuk tujuan kita di sini tetapi untuk kata sandi yang lebih keras, Anda mungkin ingin menggunakan daftar kata yang lebih luas.

john --wordlist=/usr/share/wordlists/nmap.lst hash.txt

Using default input encoding: UTF-8
Loaded 1 password hash (Office, 2007/2010/2013 [SHA1 128/128 SSE2 4x / SHA512 128/128 SSE2 2x AES])
Cost 1 (MS Office version) is 2007 for all loaded hashes
Cost 2 (iteration count) is 50000 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status

John akan mulai hack dan tergantung pada kompleksitas kata sandi yang akan selesai ketika kecocokan ditemukan. Tekan hampir semua tombol untuk melihat status saat ini. Ketika hash di-crack, sebuah pesan akan ditampilkan di layar dengan kata sandi dokumen yaitu karena kata sandi kami cukup sederhana yang hanya perlu beberapa detik untuk memecahkannya.

password123      (dummy.docx)
1g 0:00:00:03 DONE (2019-02-05 15:00) 0.2824g/s 415.8p/s 415.8c/s 415.8C/s lacoste..cooldude
Use the "--show" option to display all of the cracked passwords reliably
Session completed

Kita juga dapat menggunakan opsi --show untuk menampilkannya seperti:

john --show hash.txt

dummy.docx:password123

1 password hash cracked, 0 left

Sekarang kita tahu satu metode untuk memecahkan file Microsoft Office yang dilindungi kata sandi maka mari kita lihat satu cara lain menggunakan Hashcat alat yang ampuh.

Opsi 2Memecahkan dengan Hashcat

Kita dapat mulai dengan menampilkan menu bantuan ( --help ) untuk Hashcat. Ini akan memberi kita banyak informasi termasuk opsi penggunaan, mode hash, dan fitur lainnya. Ada banyak informasi di sini jadi saya tidak akan menunjukkan hasilnya tetapi Anda harus masuk ke dalamnya jika Anda benar-benar ingin tahu Hashcat.

hashcat --help

Dari output kami hanya tertarik pada mode hash MS Office. Di dekat bagian bawah menu bantuan kami akan menemukan opsi mode MS Office dan nomor yang sesuai. Kita tahu dari hash kita bahwa ini adalah file Office 2007 jadi cari ID nomornya 9400.

9700 | MS Office <= 2003 $0/$1, MD5 + RC4               | Documents
9710 | MS Office <= 2003 $0/$1, MD5 + RC4, collider #1  | Documents
9720 | MS Office <= 2003 $0/$1, MD5 + RC4, collider #2  | Documents
9800 | MS Office <= 2003 $3/$4, SHA1 + RC4              | Documents
9810 | MS Office <= 2003 $3, SHA1 + RC4, collider #1    | Documents
9820 | MS Office <= 2003 $3, SHA1 + RC4, collider #2    | Documents
9400 | MS Office 2007                                   | Documents
9500 | MS Office 2010                                   | Documents
9600 | MS Office 2013                                   | Documents

Sekarang kita dapat mengatur sisa opsi kita menggunakan perintah berikut.

hashcat -a 0 -m 9400 --username -o cracked_pass.txt hash.txt /usr/share/wordlists/nmap.lst

•  -a bendera menetapkan jenis serangan sebagai default modus langsung dari 0 .
•  -m bendera menentukan modus kita ingin menggunakan, yang kita hanya ditemukan.
•  --username pilihan mengabaikan nama pengguna di file hash.
• Kita dapat menentukan file output sebagai cracked.txt dengan flag -o .
• Dan akhirnya, kita bisa memasukkan hash.txt yang berisi hash dan mengatur daftar kata seperti yang kita lakukan sebelumnya.

Hashcat kemudian akan mulai hack.

hashcat (v5.1.0) starting...

* Device #2: Not a native Intel OpenCL runtime. Expect massive speed loss.
             You can use --force to override, but do not report related errors.
OpenCL Platform #1: Intel(R) Corporation
========================================
* Device #1: Intel(R) Core(TM) i5 CPU       M 480  @ 2.67GHz, 934/3736 MB allocatable, 4MCU

...

Setelah beberapa waktu berlalu statusnya akan terlihat hack dan kami siap untuk melihat kata sandi.

Session..........: hashcat
Status...........: Cracked
Hash.Type........: MS Office 2007
Hash.Target......: $office$*2007*20*128*16*a7c7a4eadc2d90fb22c073c6324...2b6870
Time.Started.....: Tue Feb  5 15:08:00 2019 (4 secs)
Time.Estimated...: Tue Feb  5 15:08:04 2019 (0 secs)
Guess.Base.......: File (/usr/share/wordlists/nmap.lst)
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........:      610 H/s (8.51ms) @ Accel:512 Loops:128 Thr:1 Vec:4
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 2048/5084 (40.28%)
Rejected.........: 0/2048 (0.00%)
Restore.Point....: 0/5084 (0.00%)
Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:49920-50000
Candidates.#1....: #!comment:  ***********************IMPORTANT NMAP LICENSE TERMS************************ -> Princess

Started: Tue Feb  5 15:07:50 2019
Stopped: Tue Feb  5 15:08:05 2019

Cukup cat out file output yang ditentukan dan itu akan menunjukkan hash dengan kata sandi plaintext ditempel di akhir.

cat cracked_pass.txt

$office$*2007*20*128*16*a7c7a4eadc2d90fb22c073c6324b6b49*abc5f80409f5f96f97e184e44aacd0b7*930b0c48a7eb5e13a57af4f3030b48e9402b6870:password123

Berhasil! Sekarang kita tahu 2 metode untuk memecahkan hash setelah mengekstraksi dari file Microsoft Office yang dilindungi kata sandi dengan office2john.

Cara Bertahan Terhadap Celah

Dalam hal pemecahan kata sandi dalam bentuk apa pun teknik pertahanan terbaik adalah dengan menggunakan praktik terbaik kata sandi. Ini berarti menggunakan kata sandi unik yang panjang dan tidak mudah ditebak. Ini membantu untuk memanfaatkan kombinasi huruf besar dan kecil, angka, dan simbol meskipun penelitian terbaru menunjukkan bahwa hanya menggunakan frasa panjang dengan entropi tinggi lebih unggul. Yang lebih baik lagi adalah kata sandi yang panjang dan dibuat secara acak yang membuat proses meretasnya hampir mustahil.

Sehubungan dengan serangan khusus ini, menggunakan dokumen Microsoft Office 2016 atau 2019 atau yang lebih baru mungkin tidak efektif, karena office2john dirancang untuk bekerja pada versi Office yang lebih lama. Namun seperti yang Anda lihat di atas, Office 2016 mungkin akan memuntahkan dokumen 2013 tanpa diketahui pengguna jadi itu tidak berarti file "baru" tidak dapat di-crack. Plus masih ada banyak dokumen Microsoft Office lama yang beredar di sana dan beberapa organisasi terus menggunakan versi yang lebih lama ini yang membuat serangan ini masih sangat layak hari ini.

Kesimpulan

Hari ini kita mengetahui bahwa file-file Microsoft Office yang dilindungi kata sandi tidak seaman yang diyakini orang. Kami menggunakan alat yang disebut office2john untuk mengekstrak hash dari file DOCX dan kemudian memecahkan hash itu menggunakan John the Ripper dan Hashcat. Jenis-jenis file ini masih umum digunakan saat ini jadi jika Anda menemukan 1 yang memiliki kata sandi di atasnya maka akan mengetahui bahwa ada cara untuk memecahkannya.