作為一名後端工程師，我深信「不懂攻擊，就不懂防禦」。

在開發 Web 應用的過程中，我們常聽到 SQL Injection、XSS 或 SSRF 等漏洞，但唯有親自模擬攻擊者的思維，才能寫出真正安全的程式碼。這就是我開始在 Hack The Box (HTB) 上進行滲透測試練習的初衷。

什麼是 numb2too/writeups？

這是我維護的一個 GitHub Repository，專門用來記錄我在 HTB 上的解題過程（Writeups）與學習筆記。

相較於單純的 Flag 提交，我更重視「思路的紀錄」。每一篇 Writeup 我都盡量還原當時的思考路徑：

1. 資訊蒐集 (Reconnaissance)：使用 nmap、wfuzz 等工具掃描目標。
2. 漏洞利用 (Exploitation)：發現 Web 服務的弱點（如未授權存取、RCE）。
3. 權限提升 (Privilege Escalation)：進入系統後，如何利用 LinEnum 蒐集資訊，從一般使用者變成 root。

專案亮點

在這個筆記庫中，你可以看到我如何結合 Python 開發能力來輔助滲透測試。例如，當手動測試過於繁瑣時，我會撰寫 Python 腳本來自動化 payload 的發送或暴力破解。

涵蓋的主題

• Web Security: SQL Injection, XSS, SSRF, Command Injection
• Linux Privilege Escalation: SUID 濫用, Kernel Exploits, Misconfigured Cron Jobs
• Tools: Burp Suite, Metasploit, Python Automation

瀏覽筆記

我將這些筆記整理成了 GitHub Pages，方便隨時查閱。如果你也在準備 OSCP 或對資安有興趣，歡迎交流！

持續學習

資安是一個無底洞，新技術與新漏洞每天都在出現。維護這個 Repository 不僅是為了備忘，更是為了強迫自己將學到的知識系統化輸出。未來我也計畫加入更多關於 AD (Active Directory) 滲透的內容。

---

如果你對文章中的技術細節有興趣，歡迎到 GitHub 上給個 Star！