Ich kann diese Ausgabe nicht mit einer aktuellen Office-Installation reproduzieren. Zumindest sollte dieser Wert steht für „Passwort“ nach dieser .
Berücksichtigen Sie diese Quellen:
- PenTestCorner - Cracken von Kennwort-Hashes für Microsoft Office (97-03, 2007, 2010, 2013) mit Hashcat
- InfoSecSee - Cracking Password Protected Word-, Excel- und Powerpoint-Dokumente
Anscheinend verwenden diese älteren Versionen eine Kombination aus Hashing und Verschlüsselung. Es scheint, als müssten Sie ein wenig mehr über die Datei erfahren, um herauszufinden, welche Art von Kombination sie tatsächlich verwendet.
InfoSecSee hat dazu ein ziemlich schönes Bild:
Dies scheint mit der Liste von PenTestCorner übereinzustimmen:
- Office 97-03 (MD5 + RC4, oldoffice $ 0, oldoffice $ 1): Kennung -m 9700
- Office 97-03 (MD5 + RC4, Collider-Modus Nr. 1): Kennzeichen -m 9710
- Office 97-03 (MD5 + RC4, Collider-Modus # 2): Kennung -m 9720
- Office 97-03 (SHA1 + RC4, oldoffice $ 3, oldoffice $ 4): Flagge -m 9800
- Office 97-03 (SHA1 + RC4, Collider-Modus Nr. 1): Kennzeichen -m 9810
- Office 97-03 (SHA1 + RC4, Collider-Modus # 2): Kennung -m 9820
- Office 2007: Kennung -m 9400
- Office 2010: Kennung -m 9500
- Büro 2013: Flagge -m 9600
Sie müssen die Einzelheiten zur Implementierung von "Office2John" oder "hashcat" überprüfen, um herauszufinden, wie der verwendete Algorithmus usw. bestimmt wird.