前言

VBA项目可以使用只读密码进行保护，需要输入密码才能在VBA IDE中查看和编辑VBA项目。不过这是一种由IDE实施的保护，而VBA代码本身未经编码或加密，可以使用工具oledump.py或Philippe的工具olevba.py进行查看，不会有任何问题。实际上，如果使用上述工具，甚至都不会注意到它受到密码保护。

实践

查看VBA项目是否受密码保护，可以看一下PROJECT流。此流是纯文本，结构类似于INI文件。会在里面找到一个ID条目，通常是第一行，这是GUID值。该GUID对于每个VBA项目都是唯一的，除非VBA项目受密码保护。受密码保护的VBA项目的GUID值具有“ NULL” 值：ID =“ {00000000-0000-0000-0000-000000000000}”

这是一个不带密码的VBA项目的PROJECT流示例，如下。

这是带有密码的VBA项目的PROJECT流的示例，如下。

原理

请注意，DPB（ProjectPassword）字段值很长，是因为此ID包含密码的哈希（ https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-ovba/79685426-30fe-43cd-9cbf-7f161c3de7d8）。VBA项目密码使用了salt，密码生成使用格式(sha1(MBCS(password)+salt))进行哈希处理，然后使用自定义可逆XOR编码进行编码，最后将其作为参数DPB的十六进制值存储在PROJECT流中。

插件

也有一个oledump插件来提取哈希并以与John Ripper和Hashcat兼容的格式表示它。此插件还会执行字典攻击，并在可以破解的情况下显示密码。

参考链接

https://isc.sans.edu/diary/rss/26390

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

收藏・3

点赞・1

打赏