PDF文件密码破解 – 作者:雷石安全实验室

0x01 前言

今天在整理文档的时候发现，有几个随机数字命名的加密pdf文件，回想了一下相关情况，好像密码是6位以内的数字加字母。正好记录一下使用hashcat和john爆破PDF文件密码的用法。顺便学习记录一下hashcat和john的用法

本文由“壹伴编辑器”提供技术支持

0x02 hashcat

下载地址：https://github.com/hashcat/hashcat/releases/download/v6.1.1/hashcat-6.1.1.7zkali下自带有该工具，但是不能发挥出它的功力，想好好利用它，还是需要下载到本地，使用显卡或者CPU去跑最好。hashcat号称是世界上最快的hash破解工具，然而获取文件hash这个事情还是需要用john的脚本。也可能太菜了没找到hashcat的脚本 这里使用john的提取pdf文件密码hash的脚本pdf2john。john的脚本目录在/usr/share/john/下，把pdf文件传上去，执行即可。

使用一个在线的网站也可以。https://www.onlinehashcrack.com/tools-pdf-hash-extractor.php

对比一下hashcat的选项

垃圾的我一时不知道该用哪个好了。时间是19年末，应该是用的比较高级的加密算法，所以这里我赌10700哈哈哈

hashcat.exe -m 10700 -a 3 $pdf$4*4*128*-4*1*16*f8e0565b3c4d9795db089448fcf5426e*32*6cff45e6bdfcecaf9039ba17cdb06ae700000000000000000000000000000000*32*f78487d59915fc93bd17f9c687bf84d1360e98df8e382132d494ed78dc3518b1 -1 ?l?u?d ?1?1?1?1?1?1

简单解释一下-m 指定hash类型-a 选择爆破方式

0 Straight（字典破解）1 Combination（组合破解）3 Brute-force（掩码暴力破解）6 Hybrid dict + mask（混合字典+掩码）7 Hybrid mask + dict（混合掩码+字典）

-1 字符集 这里是?l?u?d 指数字+字母大小写总共?1有6个，代表有6位执行后发现不行。尝试使用多个hash类型匹配这个hash。最后10500成功了。看了下CPU，并没有跑满，应该是还需要设置一些参数。

跑了一分钟就已经受不了了，这个垃圾电脑电扇声音太大了，跑密码这种事情还是扔到服务器上慢慢跑比较实在。随后在服务器上扔着慢慢跑就行了。如果没记错那就能跑出来。后边又去测试了一波跑HASH：找了个word文件-另存为-编辑加了个密码-随便设置一个6位纯数字密码体会下速度。3秒，是真的快 侧面也说明了密码设置8位以上数字加字母和特殊字符的必要性。

本文由“壹伴编辑器”提供技术支持

0x03 John

接下来体验一把john，这个工具在渗透中用过几次，用来跑密码也是非常不错的。一般平常在使用这个工具的时候往往需要准备一个密码字典去跑密码，其次可以通过其配置文件对密码字典中的密码进行变换，如末尾增加@，开头字母大写等。

-pwfile:<file>[,..]用于指定存放密文所在的文件名，(可以输入多个，文件名“，”分隔，也可以使用*或者这两个通配符引用一批文件)。也可以不使用此参数，将文件名放在命令行的最后即可。-wordfile:<字典文件名>-stdin指定的用于解密用的字典文件名。你也可以使用STDIO来输入，就是在键盘中输入。-rules在解密过程中使用单词规则变化功能。如将尝试cool单词的其他可能，如COOLER、Cool等，详细规则可以在JOHN.INI文件中的[List.Rules:Wordlist]部分查到，我们在下面详细解释。-incremental[:<模式名称>]使用遍历模式，就是组合密码的所有可能情况，同样可以在JOHN.INI文件中的[Incremental]部分查到，我们在下面详细解释。-single使用单一模式进行解密，主要是根据用户名产生变化来猜测解密，可以消灭笨蛋用户。其组合规则可以在JOHN.INI文件中的[List.Rules:Single]部分查到。-external:<模式名称>使用自定义的扩展解密模式,你可以在john.ini中定义自己需要的密码组合方式。JOHN也在INI文件中给出了几个示例，在INI文件的[List.External]中所定义的自订破解功能。-restore[:<文件名>]继续上次的破解工作，JOHN被中断后，当前的解密进度情况被存放在RESTORE文件中，你可以拷贝这个文件到一个新的文件中。如果参数后不带文件名，JOHN默认使用RESTORE文件。-makechars:<文件名>制作一个字符表,你所指定的文件如果存在，则将会被覆盖。JOHN尝试使用内在规则在相应密匙空间中生成一个最有可能击中的密码组合，它会参考在JOHN.POT文件中已经存在的密匙。-show显示已经破解出的密码，因为JOHN.POT文件中并不包含用户名，同时你应该输入相应的包含密码的文件名，JOHN会输出已经被解密的用户连同密码的详细表格。

首先来看一下这个配置文件（etc/john/john.conf）

里面配置了一些默认设置和规则，如默认的密码字典，默认的解密模式

在这里我们可以设置自己的特定符号 如0 = [a-zA-Z-0-9]，就代表数字加字母的组合也可以制定自己想要的密码处理模式

只需要在配置文件里添加

[List.Rules:myrules1]cAz"[0-9]"   //代表首字母大写，另外末尾增加一个数字后缀。可以将password变为Possword1。cAz"[0-9][!@#]"   //也可以加特殊符号

:  不操作:对输入词不做任何操作l  转换为小写u  转换为大写c  首字母大写C  第一个字母小写，其余字母大写t  单词中所有字符的切换大小写TN  在N位置切换字符的大小写WN  切换字符在N位置的移位r  颠倒:"Fred"->"derF"d  重复:"Fred" -> "FredFred"f  联想:"Fred"->"FredderF"{  向左旋转单词“jsmith"->"smithj"}  向右旋转单词:"smithj"->"jsmith"$X 将字符X附加到单词^X  在单词前面加上X字符sXY 将单词中的所有字符X替换为Ys?CY 将单词中包含C类的所有字符替换为Y@X 从单词中清除所有字符X@?C 从单词中清除包含C类的所有字符!X 如果单词包含字符X，则拒绝该单词!?C 如果单词包含C类字符，则拒绝该单词还有很多就不一一列举了，机翻的不一定准确，还需要在实际运用中自己把握，毕竟是老外的东西，角度是从字母出发的。跟我们的拼音密码还是有差距的。

我们找到爆破模块，然后自定义一个6位数的纯数字模块。

默认这个模块是[Incremental:ASCII]枚举13位的ascii的所有字符。这里有一个[Incremental:ASCII]模块机，看了说明，应该就是数字，意思是20位数字爆破，改一下好了。把MinLen和MaxLen都改成6去调用看看。

[Incremental:ASCII]File = $JOHN/digits.chrMinLen = 1MaxLen = 20CharCount = 10

速度也是很快。

如果要深究怎么使用的可以去看官方文档，这个工具不仅仅可以用来破解hash，还有一些其他功能。https://github.com/openwall/john/tree/bleeding-jumbo/doc可以看以下几个文档，通读后绝对熟练掌握，哈哈。

* INSTALL - installation instructions* OPTIONS - command line options and additional utilities* MODES - cracking modes: what they are* CONFIG (*) - how to customize* RULES (*) - wordlist rules syntax* EXTERNAL (*) - defining an external mode* EXAMPLES - usage examples - strongly recommended

来源：freebuf.com 2020-09-04 17:11:12 by: 雷石安全实验室