Сброс (взлом) пароля к документам MS Word путем вскрытия мета-данных

Сброс (взлом) пароля к документам MS Word путем вскрытия мета-данных

https://t.me/w2hack

Into

И так, всем нам давно известный случай, когда документ MS Word что у на руках защищен от изменений, то есть доступен только "для чтения". Эта старая фича в MS Office позволяющая при сохранении документа установить пароль на его изменение. В принципе механизм защиты - да! работает - да! А что же можно сделать что бы получить доступ к документу на редактирование?

Один из вариантов, что нам предлагает гугл или "знатоки безопасности" это заюзать специальные тулзы для получения пароля путем брута, то есть перебора. Конечно, вариант рабочий, отметать его совсем нельзя, но это как то выглядит сильно банально и "в лоб" что ли. Мы поступим более изящно:)

Ограничение

Данный метод проверен на версиях MS Office от 2003 до 2007, более же поздние релизы Офиса могут быть уже вылечены от этого бага, так что 100% гарантий нет, но узнать этом можно только на практике, так что пробуйте.

Ну и как известно, есть был найден этоn баг то рано или поздно может появиться другой метод подходящий и для самых свежих выпусков MS Office.

Уязвимость в документах MS Office

Исследователем безопасности был обнаружена уязвимость в механизме защиты документов, созданных при помощи популярного текстового процессора Microsoft Word. Исследователь утверждает, что подобную защиту можно очень просто обойти, используя любой 16-ричный (HEX) редактор. Подобный механизм выбирается при помощи последовательности действий: "Tools" -> "Protection" -> "Forms" c заданием пароля в соотв. поле ("Сервис" -> "Установить защиту" -> далее запрет действий вне полей форм и ввод пароля в русской версии).

При сохранении документа в HTML-формате пароль сохраняется внутри определённого тэга в виде контрольной суммы, вычисляемой по алгоритму, подобному CRC32. И, хотя точный алгоритм вычисления суммы не известен, однако автор заметил, что, если изменить это значение на число вида 0x00000000, пароль будет представлять собой пустую строку. Для снятия защиты автор предлагает найти 16-ричное число внутри тэгов <w:UnprotectPassword> </w:UnprotectPassword>. Затем запомнить число и записать его в обратном порядке . Затем открыть соотв. DOC-файл в 16-ричном редакторе — найти соотв. число и заменить все 4 двойных байта на 0x00 и сохранить. После этого: Открыть документ, "Tools / Unprotect Document" — пароль пустой.

Практика

Изменение формата файла

1. Запустите программу Microsoft Word (не файл) и перейдите в меню «Файл».

меню файл в Word

2. Выберите пункт «Открыть» и укажите путь к документу, который нужно разблокировать. Для поиска файла используйте кнопку «Обзор».

открыть файл в Word

3. Открыть для редактирования его на данном этапе не получится, но нам этого и не нужно.

Защищенный документ открыт в Word

Все в том же меню «Файл» выберите пункт «Сохранить как».

сохранить как в Word

4. Укажите место для сохранения файла, выберите его тип: «Веб-страница».

выбор формата для сохранения в Word

5. Нажмите «Сохранить» для сохранения файла в качестве веб-документа.

указать путь для сохранения в word
Примечание: Если в документе, который вы повторно сохраняете, применены особые стили форматирования, может появится уведомление о том, что некоторые свойства данного документа не поддерживаются веб-браузерами. В нашем случае это границы знаков. К сожалению, ничего не остается, как это изменение принять, нажав на кнопку «Продолжить».
Microsoft Word - проверка совместимости

Поиск пароля

1. Перейдите в папку, в которую вы сохранили защищенный документ в качестве веб-страницы, расширение файла будет «HTM».

папка с документом

2. Кликните по документу правой кнопкой мышки и выберите пункт «Открыть с помощью».

3. Выберите программу Notepad++.

открыть через notepad
Примечание: В контекстном меню может содержаться пункт «Edit with Notepad++». Следовательно, выберите его для открытия файла.

4. В открывшемся окне программы в разделе «Поиск» выберите пункт «Найти».

найти в notepad

5. Введите в строке поиска в угловых скобках (<>) тег w:UnprotectPassword. Нажмите «Искать далее».

Найти по тегу в notepad

6. В подсвеченном фрагменте текста найдите строку схожего содержания: w:UnprotectPassword>00000000, где цифры «00000000», расположенные между тегами, это и есть пароль.

пароль найден в notepad
Примечание: Вместо цифр «00000000», указанных и использованных в нашем примере, между тегами будут находиться совсем иные цифры и/или буквы. В любом случае, это и есть пароль.

7. Скопируйте данные между тегами, выделив их и нажав «CTRL+C».

скопировать пароль в notepad

8. Откройте оригинальный документ Word, защищенный паролем (не его HTML-копию) и вставьте в строку ввода пароля скопированное значение (CTRL+V).

ввести пароль в word

9. Нажмите «ОК» для открытия документа.

документ открыт в Word

10. Запишите этот пароль или измените его на любой другой, который вы точно не забудете. Сделать это можно в меню «Файл» — «Сервис» — «Защита документа».

изменить пароль документа word

Альтернативный метод

Если вышеописанный метод вам не помог или же по каким-то причинам он вас не устроил, рекомендуем попробовать альтернативное решение. Данный метод подразумевает преобразование текстового документа в архив, изменение одного элемента, содержащегося в нем, и последующее преобразование файла обратно в текстовый документ. Нечто похожее мы проделывали с документом для извлечения из него изображений.

Изменение расширения файла

Откройте папку, в которой содержится защищенный файл, и измените его расширение с DOCX на ZIP. Для этого выполните следующее:

папка с защищенным документом

1. Кликните по файлу и нажмите F2.

переименовать файл

2. Удалите расширение DOCX.

3. Введите вместо него ZIP и нажмите «ENTER».

переименование

4. Подтвердите свои действия в появившемся окне.

расширение документа изменено

Изменение содержимого архива

1. Откройте zip-архив, перейдите в папку word и найдите там файл «settings.xml».

папка с документом word

2. Извлеките его из архива, нажав на кнопку на панели быстрого доступа, через контекстное меню или путем простого перемещения из архива в любое удобное место.

3. Откройте этот файл с помощью Notepad++.

открытие в notepad

4. Найдите через поиск размещенный в угловых скобках тег w:documentProtection … , где «…» — это пароль.

Найти в notepad

5. Удалите этот тег и сохраните файл, не изменяя его изначальный формат и имя.

найти пароль в notepad

6. Добавьте измененный файл обратно в архив, согласившись на его замену.

вставить в архив

Открытие защищенного файла

Измените расширение архива с ZIP снова на DOCX. Откройте документ — защита будет снята.


Всем спасибо, удачи!