Hashcat(해시캣)은 파일의 암호화를 해제하기 위한 무작위 대입(사전, 마스킹 포함) 기반 전문가용 소프트웨어이다. 아래 알고리즘의 해제를 지원한다.

ㅁ

Python을 먼저 설치하여야 한다.

현재 기준으로 파이선 최신버전은 3.9.6이며 윈도우즈 설치 파일은 여기서 다운로드할 수 있다.

1. John The Ripper를 다운로드한다.

2. 압축을 푼다.

3. 명령 프롬프트(cmd) 창을 열고 pushd 명령으로 압축을 푼 폴더 위치로 이동한다.

pushd C:\Users\John\Downloads\bleeding-jumbo (압축을 푼 폴더 경로)

4. 아래 명령을 실행하면 패스워드를 풀 수 있는 해시를 확인할 수 있다.

python office2john.py C:\Users\John\Desktop\encrypted.xlsx (엑셀 파일 경로)

5. Hashcat을 다운로드한다.

6. Office 버전에 맞는 플래그 번호를 찾는다. (오른쪽 4자리 번호). 더 많은 유형은 여기에서 찾을 수 있다.

  Office 97-03(MD5+RC4,oldoffice$0,oldoffice$1): flag -m 9700 
  Office 97-03(MD5+RC4,collider-mode#1): flag -m 9710
  Office 97-03(MD5+RC4,collider-mode#2): flag -m 9720
  Office 97-03(SHA1+RC4,oldoffice$3,oldoffice$4): flag -m 9800
  Office 97-03(SHA1+RC4,collider-mode#1): flag -m 9810
  Office 97-03(SHA1+RC4,collider-mode#2): flag -m 9820
  Office 2007: flag -m 9400 
  Office 2010: flag -m 9500
  Office 2013: flag -m 9600

Office 2013의 플래그 번호는 9600이다.

7. 해제 시작

hashcat -m 9600 -a 3 [추출한 해시]

기다리면 해제된 결과를 확인할 수 있다. 오류가 발생하는 경우 플래그 번호가 맞지 않을 수 있으므로 해당하는 플래그 번호를 바꾸어 시도한다.