Hash de contraseña de un pdf

Edelark · 24 Septiembre 2016, 14:09 PM

Hola, ante todo deciros que he utilizado el buscador y no he encontrado lo que busco, perdonadme si no he buscado bien y ya existe algo parecido.

Estoy intentando sacar la contraseña de un archivo pdf que mi profesor quiere que crackeemos (los apuntes de una asignatura de seguridad de mi carrera) a través del hash de su contraseña, pero no encuentro ninguna herramienta para descifrar hash tipo pdf, he probado con john the ripper, hashcat y algunas más, pero no lo consigo, ¿alguna idea?

el hash: b'$pdf$2*3*128*-3904*1*16*b8ad98dcbc5cc7a0158c1b494dd3c0af*32*ec0075a0af7e92d1255828ef2cc2c39800000000000000000000000000000000*13*7ee283c3ed4336ddc54f8c1d03'

engel lex · 24 Septiembre 2016, 17:04 PM

los hash no se descifran, porque ellos no cifran algo, son sumas de comprobación... los hash se prueban hasta coincidir con el valor (crackear)

aqui tratan sobre el esquema de seguridad
https://www.cs.cmu.edu/~dst/Adobe/Gallery/anon21jul01-pdf-encryption.txt

igual te toca crakearla... john de ripper te ayuda...

Edelark · 24 Septiembre 2016, 17:25 PM

Sí, lo se, averigué el HASH mediante john2pdf.py pero cuando intento ejecutar un software tipo hashcat me da error con mi tarjeta gráfica o incluso john the ripper me da un error en .conf línea 294 o algo así y no puedo ejecutarlo para proceder a descifrar el hash.

hago esto: john --format=pdf hash.txt

pero no me funciona, y el archivo está en el mismo directorio

Pablo Videla · 24 Septiembre 2016, 17:26 PM

cudaHashcat tiene estos cifrados para PDF

Citar
10400 = PDF 1.1 - 1.3 (Acrobat 2 - 4)
10410 = PDF 1.1 - 1.3 (Acrobat 2 - 4) + collider-mode #1
10420 = PDF 1.1 - 1.3 (Acrobat 2 - 4) + collider-mode #2
10500 = PDF 1.4 - 1.6 (Acrobat 5 - 8)
10600 = PDF 1.7 Level 3 (Acrobat 9)
10700 = PDF 1.7 Level 8 (Acrobat 10 - 11)

La pregunta es, que tipo de cifrado es y si realmente es el hash que corresponde, averigua de cuantos bits es el verdadero cifrado que utiliza.

Yo creo que hay probalidades de que ese no sea el hash o es una porción de ese string que enviaste, desconozco cuantos bits son los reales para PDF y que versión de PDF.

Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

engel lex · 24 Septiembre 2016, 17:31 PM

Citarque tipo de cifrado es

vuelvo, no es cifrado

por la cabecera

Código [Seleccionar]

$pdf$2*3

es correspondiente a PDF 1.4 - 1.6 (es hash de pdf version 2 revisión 3)

Pablo Videla · 24 Septiembre 2016, 17:34 PM

Cita de: engel lex en 24 Septiembre 2016, 17:31 PM
vuelvo, no es cifrado

por la cabecera

Código [Seleccionar] Expandir
$pdf$2*3

es correspondiente a PDF 1.4 - 1.6 (es hash de pdf version 2 revisión 3)

No es cifrado simetrico? Sino es así que es? , sólo para tenerlo claro, gracias!

Edelark · 24 Septiembre 2016, 17:39 PM

Disculpa, tengo que acostumbrarme a las nomenclaturas aún

A mi john2pdf.py me devolvió el siguiente string:

b'TAI.pdf':b'$pdf$2*3*128*-3904*1*16*b8ad98dcbc5cc7a0158c1b494dd3c0af*32*ec0075a0af7e92d1255828ef2cc2c39800000000000000000000000000000000*13*7ee283c3ed4336ddc54f8c1d03':::::b'TAI.pdf'

Por lo que he seleccionado el trozo siguiente como hash:

b'$pdf$2*3*128*-3904*1*16*b8ad98dcbc5cc7a0158c1b494dd3c0af*32*ec0075a0af7e92d1255828ef2cc2c39800000000000000000000000000000000*13*7ee283c3ed4336ddc54f8c1d03'

y cuando hago lo siguiente desde la consola:

john --format=pdf hashTAI.txt

recibo este mensaje:

Unknown directive in the .conf file: '.include '$JOHN/dynamic_disabled.conf' '
Error in john.conf at line 294

He entrado en ese archivo pero no se qué debo tocar ahí dentro :/ así que probé con hashcat pero me falta algún tipo de driver de mi tarjeta gráfica para poder ejecutarlo.

Tengan paciencia conmigo,

Pablo Videla · 24 Septiembre 2016, 17:43 PM

Me respondo, no son cifrados simetricos, sino una función hash Gracias por la correción

http://www.redeszone.net/2010/11/09/criptografia-algoritmos-de-autenticacion-hash/

Respecto al hilo,

CitarcudaHashcat v2.01 starting...

WARNING: Hashfile 'C:\Users\sdasadasdasd\Documents\hashpdf.txt' in line 1 (b'$pdf$2*3*128*-3904*1*16*b8ad98dcbc5cc7a0158c1b494dd3c0af*32*ec0075a0af7e92d1255828ef2cc2c39800000000000000000000000000000000*13*7ee283c3ed4336ddc54f8c1d03'): Line-length exception
Parsed Hashes: 1/1 (100.00%)

ERROR: No hashes loaded

Al parecer el string no concuerda con la cantidad de bits que debe tener el hash...

Citar10500 = PDF 1.4 - 1.6 (Acrobat 5 - 8)

con esa opción estoy intentando hacer el crackeo.

Edelark · 24 Septiembre 2016, 17:48 PM

Curioso... ¿Cómo has probado eso? para hacerlo yo e ir probando, pero es raro que el john2pdf me de un hash inválido

Pablo Videla · 24 Septiembre 2016, 17:53 PM

E:\asdasd\cudaHashcat-2.01>cudaHashcat64.exe -a 0 -m 10500 C:\Users\asdasdadssd\Documents\hashpdf.txt E:\asdasd\Passwords\rockyou.txt

Citar-a el tipo de ataque

Citar-m el tipo de hash

Citarrutadelarchivo con hash

Citardiccionario

Podrias enviar el pdf para probar.