Только как правило там DES а не md5, но тут всё зависит от дистрибутива.
Прав на shadow файл не хватит, он доступен только под рутом. Если админ лох, то можешь поискать что-нибудь в стиле - shadow.old, shadow.backup - как правило на них тоже не хватает прав, но раз на раз не приходится.


А вообще если есть шелл, то заливаешь bind script(лучше пользуйся r57, он там вшит втело шелла), коннектишься на открытый порт, заливаешь эксплоит. Компилишь его и запускаешь... получаещь рута.(База эксплоитов - milw0rm.com)


P.S. опередили меня)))