Echec OP 2/3 (Forensics) - FCSC2022

Principe:
Explorer un dump disque pour retrouver un mot de passe (dans l'historique bash)

Infos (cf menu latéral):
🚩 Flaggué! +141 points gagnés — 💾 Téléchargez les fichiers du challenge
FCSC{CZSITvQm2MBT+n1nxgghCJ}

Le challenge

Le challenge demande de retrouver le mot de passe d'un utilisateur à partir du dump disque

Fausse piste du swap

On monte le disque comme précédemment (Echec 1/3) et on explore
On trouve un swap.img sur cette image disque, mais cela s'avère être une fausse piste (le fichier est quasiment vide)

Bash history

D'abord, on peut aller voir le /etc/passwd et /etc/shadow, on trouve un utilisateur obob et son pass hashé
On peut tenter John the ripper, avec rockyou et avec une liste de toutes les strings contenues dans l'image, mais rien
En explorant le disque, on trouve alors un bash history où l'utilisateur a changé de mot de passe (et ce n'est pas un easter egg en base64)

J'aurai pu ne pas utiliser John pour vérifier que ce mot de passe était le bon, mais je l'avais sous la main et utiliser un dictionnaire de 1 mot, c'est légal!

Et le flag est trouvé (après quelques ratés et fausses pistes)

Flag: FCSC{CZSITvQm2MBT+n1nxgghCJ}