【51CTO.com原創(chuàng)稿件】Word 軟件是目前世界上使用最為廣泛的辦公文字處理軟件之一，政府、企業(yè)以及個(gè)人都喜歡用 Word 文件來(lái)處理工作和個(gè)人事務(wù)，在國(guó)內(nèi)有超過(guò) 90％ 的用戶在使用它。

[[221843]]

而在使用 Word 來(lái)保存文件內(nèi)容時(shí)，根據(jù)不同的安全需要，對(duì)文件內(nèi)容進(jìn)行保護(hù)就需要進(jìn)行加密，當(dāng)需要閱讀文件內(nèi)容時(shí)就需要解密。

很多人都有記日記的習(xí)慣，可時(shí)間久了，往往會(huì)忘記自己的密碼，如果不能找回密碼，則無(wú)法查看文檔內(nèi)容。

目前網(wǎng)上有很多關(guān)于 Word 密碼破解的軟件，例如 Word Password Recovery Master 無(wú)限制版、Advanced Office Password Recovery。

它們主要的破解方式是采用暴力破解，破解成功后會(huì)顯示原來(lái)的加密密碼。如果密碼設(shè)置的相對(duì)復(fù)雜，其破解時(shí)間特別長(zhǎng)。

“Office Password Remover”是國(guó)外一家單獨(dú)做密碼恢復(fù)軟件的公司開(kāi)發(fā)的，該公司還有許多其他密碼恢復(fù)的軟件。

原版“Office Password Remover”軟件下載地址：http://www.rixler.com/download.htm

rixler 破解“Office97/2000 兼容”加密類(lèi)型的 Word 加密文件，速度非常快，最慢不超過(guò) 1 分鐘。

它的缺點(diǎn)是在破解時(shí)需要訪問(wèn)網(wǎng)絡(luò) http://www.rixler.com/，而且破解后不顯示原來(lái)密碼（聯(lián)網(wǎng)破解需要付費(fèi)購(gòu)買(mǎi)其軟件）。

通過(guò)筆者研究，發(fā)現(xiàn) Hashcat 新版本增加了很多新功能，Hashcat 采用暴力破解和哈希值碰撞的方式進(jìn)行破解，按照官方的說(shuō)法，一個(gè) Word 加密文件有可能有多個(gè)密碼可以用來(lái)打開(kāi)該文件。

Word 文件加密

加密 Word 文件

一般情況下，對(duì) Word 文件加密是指采用 Word 字處理軟件所自帶的加密功能。

要使用該功能，可在 Word 文件編輯狀態(tài)下，選擇“工具”－“選項(xiàng)”－“安全性”，就會(huì)出現(xiàn)如圖 1 所示的界面：

圖 1：打開(kāi)加密 Word 文件選項(xiàng)

設(shè)置加密密碼

Word 文件加密常用的選項(xiàng)主要有二種，一種是打開(kāi)權(quán)限，另一種是擁有修改權(quán)限可以對(duì)文件進(jìn)行修改。

在對(duì) Word 文件進(jìn)行加密時(shí)可以根據(jù)需要，設(shè)置打開(kāi)權(quán)限密碼和修改權(quán)限密碼，設(shè)置完畢后單擊“確定”保存設(shè)置時(shí)，往往需要再次確認(rèn)密碼。

如圖 2 所示，確認(rèn)完畢，關(guān)閉 Word 文件后，再次打開(kāi)時(shí)就需要輸入密碼。如果設(shè)置的是修改權(quán)限密碼，再打開(kāi)時(shí)會(huì)提示分別輸入打開(kāi)權(quán)限密碼和修改權(quán)限密碼。

圖 2：設(shè)置加密密碼

目前也有單獨(dú)針對(duì) Word 文件開(kāi)發(fā)的加解密軟件，要解密這種 Word 文件非常困難。

在 Word 字處理軟件中提供了多種加密算法類(lèi)型，在圖 3 中單擊“高級(jí)”可以查看和選擇不同的加密類(lèi)型。

Word 默認(rèn)的加密類(lèi)型是 Office97/2000 兼容，該加密類(lèi)型非常容易被破解，而如果要對(duì) Word 文件進(jìn)行較高等級(jí)的安全保護(hù)，建議采用其他加密類(lèi)型。

除了“Office97/2000 兼容”加密類(lèi)型外，其他加密類(lèi)型均較難破解，對(duì)這些加密類(lèi)型采取破解時(shí)多用暴力破解，其破解主要跟字典有關(guān)。

圖 3：選擇 Word 加密類(lèi)型

找回 Office 文檔密碼方法

對(duì)于加密的 Word 文件，筆者認(rèn)為有三種方式可以找回：

暴力破解

這是最常用的方法，通過(guò)編程將字典中的值依次輸入進(jìn)行確認(rèn)嘗試，一旦嘗試成功，則說(shuō)明該值為破解值，其破解成功難度往往取決于字典的完善程度。

字典在網(wǎng)絡(luò)安全中扮演非常重要的角色，不斷的完善和更新字典是一個(gè)好習(xí)慣，一個(gè)高手往往有好多個(gè)字典，字典可以是以 .dic 和 .txt 結(jié)尾的文件，文件中每一個(gè)字符串為一行。

針對(duì)算法的破解

針對(duì)算法的破解，要求對(duì)加密算法非常熟悉，通過(guò)加密算法中的缺陷或者針對(duì)加密算法的破解算法進(jìn)行編程，然后進(jìn)行自動(dòng)破解。

這種方法往往破解速度快，但是使用破解軟件的技術(shù)難度大，這類(lèi)軟件往往是國(guó)外的網(wǎng)絡(luò)安全大牛們寫(xiě)的，國(guó)內(nèi)也有很多大牛，不過(guò)他們不怎么寫(xiě)。

另類(lèi)破解

另類(lèi)破解就是天才中的天才，也就是“只有你想不到的，沒(méi)有做不到的。”他們往往采用常人所想不到的破解方式來(lái)進(jìn)行破解，例如王曉蕓教授破解 Md5 加密算法。

使用 Hashcat 軟件找回密碼

Hashcat 是一款強(qiáng)大的綜合密碼破解工具，它支持高達(dá)數(shù)百種加密算法的破解，以前有一個(gè) Advanced Office Password Breaker 可以對(duì) Office 密碼進(jìn)行恢復(fù)，下面介紹如何利用 Hashcat 進(jìn)行 Office 文檔的破解。

打開(kāi)文件需要輸入密碼

使用 Office 軟件打開(kāi)某個(gè)被加密過(guò)的 Word 文件，需要輸入密碼才能正常訪問(wèn)，如圖 4 所示：

圖 4：打開(kāi)加密 Word 文件

計(jì)算加密 Word 文件的 Hash 值

下載http://www.openwall.com/john/j/john-1.8.0-jumbo-1.tar.gz

然后從壓縮包中獲取 office2john.py 文件，最后執(zhí)行：office2john.py6.doc

執(zhí)行效果如圖 5 所示，可以將執(zhí)行結(jié)果定向到 Hash 文件：

office2john.py6.doc>hash

圖 5：計(jì)算 Word 文件 Hash 值

整理 Hash 文件

Hash 文件生成的內(nèi)容如圖 6 所示，該 Hash 文件無(wú)法直接進(jìn)行計(jì)算，需要去掉一些無(wú)關(guān)信息。

圖 6：Hash 文件內(nèi)容

對(duì) Hash 文件進(jìn)行整理，去掉“6.doc:”和“:::第 6 章 入侵檢測(cè)神話 漁樵Normal 鄧琦皓 2 Microsoft Word 9.0 YuQiao Studio::6.doc”。

如圖 7 所示，獲取正確的哈希值：

$oldoffice$1*ae8adb6a8b3aeb7c1bd3bb6bf6514ef4*5e4ffbe5034d9fa2bf05dce0a9d34bb7*db9ca3e3291f536620ad7c987ac6e514

圖 7：整理好的哈希值

破解 Office 加密 Offcie 版本對(duì)應(yīng)哈希類(lèi)型

• Office97-03(MD5+RC4,oldoffice$0,oldoffice$1)：-m 9700  
• Office97-03($0/$1, MD5 + RC4, collider #1)：-m 9710 
• Office97-03($0/$1, MD5 + RC4, collider #2)：-m 9720 
• Office97-03($3/$4, SHA1 + RC4)：-m 9800 
• Office97-03($3, SHA1 + RC4, collider #1)：-m9810 
• Office97-03($3, SHA1 + RC4, collider #2)：-m9820 
• Office2007：-m 9400  
• Office2010：-m 9500 
• Office2013：-m 9600

使用 Hashcat 進(jìn)行破解

Hashcat 中自定義破解含義值：

• ?l = abcdefghijklmnopqrstuvwxyz，代表小寫(xiě)字母。
• ?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ，代表大寫(xiě)字母。
• ?d = 0123456789，代表數(shù)字。
• ?s = !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~，代表特殊字符。
• ?a = ?l?u?d?s，大小寫(xiě)數(shù)字及特殊字符的組合。
• ?b = 0x00 - 0xff

破解示例

8 位數(shù)字破解

Hashcat64-m 9700 hash -a 3 ?d?d?d?d?d?d?d?d -w 3 –O

1-8 位數(shù)字破解

Hashcat-m 9700 hash -a 3 --increment --increment-min 1--increment-max 8 ?d?d?d?d?d?d?d?d

1 到 8 位小寫(xiě)字母破解

Hashcat-m 9700 hash -a 3 --increment --increment-min 1--increment-max 8 ?l?l?l?l?l?l?l?l

8 位小寫(xiě)字母破解

Hashcat-m 9700 hash -a 3 ?l?l?l?l?l?l?l?l -w 3 –O

1-8 位大寫(xiě)字母破解

Hashcat-m 9700 hash -a 3 --increment --increment-min 1--increment-max 8 ?u?u?u?u?u?u?u?u

8 位大寫(xiě)字母破解

Hashcat-m 9700 hash -a 3 ?u?u?u?u?u?u?u?u -w 3 –O

5 位小寫(xiě)+大寫(xiě)+數(shù)字+特殊字符破解

Hashcat-m 9700 hash -a 3 ?b?b?b?b?b -w 3

使用字典進(jìn)行破解

使用 password.lst 字典進(jìn)行暴力破解，-w 3 參數(shù)是指定電力消耗。

Hashcat  -m9700 -a 0 -w 3 hash  password.lst

破解時(shí)采取先易后難的原則，建議如下：

• 使用 1-8 位數(shù)字進(jìn)行破解。
• 使用 1-8 位小寫(xiě)字母進(jìn)行破解。
• 使用 1-8 位大寫(xiě)字母進(jìn)行破解。
• 使用 1-8 位混合大小寫(xiě)+數(shù)字+特殊字符進(jìn)行破解。
• 利用收集的公開(kāi)字典進(jìn)行破解。

如圖 8 所示，對(duì) Hash 文件通過(guò)數(shù)字破解完成后，繼續(xù)進(jìn)行 1-8 位小寫(xiě)字母的破解。

在該圖中會(huì)顯示掩碼值，破解進(jìn)度，破解開(kāi)始時(shí)間，破解預(yù)計(jì)耗費(fèi)時(shí)間，以及破解顯卡或者 CPU 的溫度，一般設(shè)置到 90 攝氏度就自動(dòng)終止，以免燒壞計(jì)算機(jī)。

圖 8：開(kāi)始破解

查看破解結(jié)果

在執(zhí)行破解成功后，Hashcat 會(huì)自動(dòng)終止破解，并顯示破解狀態(tài)為 Cracked，Recovered 中也會(huì)顯示是否破解成功。

如圖 9 所示，經(jīng)過(guò) 34 分鐘的破解，成功將某一個(gè)加密文檔破解。

圖 9：破解 Word 文件成功

還可以通過(guò)查看 hashcat.potfile 以及執(zhí)行破解命令后加“--show”命令查看。

即：Hashcat64-m 9700 hash -a 3 --increment --increment-min 1 --increment-max 8?l?l?l?l?l?l?l?l –show

如圖 10、圖 11 所示，該 Word 文件密碼為 shirley。

圖 10：查看 potfile 查看破解結(jié)果

圖 11：執(zhí)行命令查看破解結(jié)果

[[221848]]

陳小兵，高級(jí)工程師，北理工計(jì)算機(jī)學(xué)院博士在讀。擁有豐富的信息系統(tǒng)項(xiàng)目經(jīng)驗(yàn)以及 15 年以上網(wǎng)絡(luò)安全經(jīng)驗(yàn)?，F(xiàn)主要從事網(wǎng)絡(luò)安全及數(shù)據(jù)庫(kù)技術(shù)研究工作。已出版《SQL Server2000培訓(xùn)教程》《黑客攻防及實(shí)戰(zhàn)案例解析》《Web滲透及實(shí)戰(zhàn)案例解析》《安全之路-Web滲透及實(shí)戰(zhàn)案例解析第二版》、《黑客攻防實(shí)戰(zhàn)加密與解密》、《網(wǎng)絡(luò)攻防實(shí)戰(zhàn)研究：漏洞利用與提權(quán)》、《網(wǎng)絡(luò)攻防實(shí)戰(zhàn)研究：MySQL數(shù)據(jù)庫(kù)攻擊與防范》共計(jì) 7 本專著，在國(guó)內(nèi)核心期刊及普通學(xué)術(shù)期刊發(fā)表論文 20 余篇，曾在《黑客防線》、《黑客X檔案》、《網(wǎng)管員世界》、《開(kāi)放系統(tǒng)及世界》、《視窗世界》等雜志發(fā)表文章 100 余篇。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】