On monte le disque
comme précédemment
et on explore
On trouve un swap.img sur cette image disque, mais cela s'avère être une fausse piste
(le fichier est quasiment vide)
Bash history
D'abord, on peut aller voir le /etc/passwd et /etc/shadow,
on trouve un utilisateur obob et son pass hashé
On peut tenter John the ripper, avec rockyou et avec une liste de toutes les strings contenues dans
l'image, mais rien
En explorant le disque, on trouve alors un bash history
où l'utilisateur a changé de mot de passe (et ce n'est pas un easter egg en base64)
J'aurai pu ne pas utiliser John pour vérifier que ce mot de passe était le bon,
mais je l'avais sous la main et utiliser un dictionnaire de 1 mot, c'est légal!
Et le flag est trouvé (après quelques ratés et fausses pistes):
FCSC{CZSITvQm2MBT+n1nxgghCJ}
