# Wonderland ## 1. Obtain the flag in user.txt 使用nmap掃描查看發現目標網址只有兩個port是使用的。  使用 gobuster 查看有無可用路徑，發現其中有兩個 /img 與 /r  /r 內容如下  使用 gobuster 查看/r之下有無可用路徑，發現其中有/a  ---以下為0824新增--- /r/a內容如下，猜測後面還有其他子目錄  經過不斷往下掃描後，得出/r/a/b/b/i/t子目錄結果     /r/a/b/b/i/t 內容如下  找到這邊尚未發現有能夠使用的突破口，從網頁原始碼開始看 /r/a/b/b/i/t 的原始碼如下，發現這段是被隱藏的 style="display: none;">alice:HowDothTheLittleCrocodileImproveHisShiningTail  將被隱藏的部份作為嘗試登入ssh, ssh alice@10.10.51.89 password:HowDothTheLittleCrocodileImproveHisShiningTail 登入成功，發現其中並無user.txt檔案  找尋有無SUID漏洞可用，結果如下，並無發現 find / -user root -perm -4000 -exec ls -ldb {} \;   回到alice上層路徑，測試發現除alice外其餘路徑皆無權限開啟  sudo -l 發現alice 能夠使用rabbit 的權限去執行walrus_and_the_carpenter.py檔案，這邊能夠判斷rabbit就是root  其中 walrus_and_the_carpenter.py.5 檔案為使用wget從本機端下載的reverse shell檔案  嘗試將 walrus_and_the_carpenter.py 替換成 reverseshell檔案walrus_and_the_carpenter.py.5    發現權限不足無法更改 walrus_and_the_carpenter.py onlyread 無法更改  無法單用rabbit執行python  回到 /img 發現三張圖中 alice_door.jpg 還沒被使用過，下載下來找線索  ## 2. Escalate your privileges, what is the flag in root.txt? 登入後直接看見了root.txt檔案，但alice使用者無權限開啟該檔案