Hack me like a hacker

# 0x01 Name 对于被中文译名坑害的好作品已经见怪不怪了，这部译名虽然够恶俗，但严格上说不在其列，因为即使是英文名就够让人摸不着头脑的。也许平庸简单的名字更能凸显一部作品的口碑。 而对于“黑客军团”这个译名，我意见倒不是很大，毕竟译者当初定不能预料到剧情的高深莫测扑朔迷离，至少这样简单粗暴的译名恰能引起我等甚少追剧的人的兴趣。即使是现在看完第一季，我对一个又贴切又传神的译名还是没有半点头绪，或者说可能要等到全剧结束冲出迷雾才能以一个全知全能者的态度概括出一个配得上其内容的译名。 # 0x02 God or Man 许多剧情简介是这样说的“Elliot无法正常与身边的人交流，他唯一的沟通方式就是黑别人。”的确，当看到他对着双显示器电脑运行那个神一般的gmail账号破解脚本，我一边在想，拥有这样犯规的能力在信息时代除了“神”也没什么别的词可以形容了。轻而易举地获取Email账号并辐射式地接管所有与Email链接的其他网络账号，从点到面地剖析一个人在网络上呈现的所有活动从而推断其心理状态，这样对信息的全面掌控就像是上帝对天下子民的无所不知一样。 神一样的能力终究是安放在了一个普通人身上，而且不是一个正常人。 不擅交流，不用社交网络，几乎从不参加社交活动，这可以说是“神性”的体现，感觉无法与人正常交流一方面固然是因为有心理障碍，另一方面是因为知道的太多，仅仅通过“黑”的方式就能获取到想要的任何信息，如此以来任何程度的交流都变得多余。也许在Elliot看来Hack的本领就像说话一样自然，甚至比开口交流更加简单，与其说是一种对自身技术的依赖，不如说是Hack已经成为他自己的一种本能。 但是与其他剧的神酷主角不同，原本应该是理性操控的技术背后则是紊乱疲弱的心灵。也许看的剧集实在太少，有意无意就把Elliot和Sherlock比较，Sherlock就是那种不食人间烟火的死理性派神酷主角，而Elliot，除了莫名其妙的入侵技术就谈不上半点主角光环。童年阴影，心理疾病， 滥药成瘾，基本就是社会底层小混混的标配，甚至不惜在观众面前因孤独抱头痛哭肆意展现人性的软弱。 所谓黑客，不过是这样半人半神，不，是不人不神的混合体。Elliot的行为可以说是纯粹由感性来推动的，由感性推动理性技术，反社会的神性和作为孤独个体的人性相碰撞产生的奇特人格。从Elliot之中好像看到了自己的影子…… # 0x03 Hack in this way or another 从一开始就看不惯Tyrell这厮，心想为什么要花那么多功夫来对一个不择手段上位的2B高管进行展开。最后我算是明白了，同样是Hack people，只是采取的方法不同。遑论Tyrell背后是有什么大阴谋，Tyrell的所作所为在某种程度上和Elliot的Hack是殊途同归的。相同的是对人控制的野心，不同的只是手法。相比之下只是前者做得更肆无忌惮死皮赖脸。两人分线展开叙述最后没头没脑地就一起干了一票大的。剧情不明朗，也不好给这个Tyrell一个定位。 # 0x04 Tools 要是以前，我肯定把这个放在第一个写。不得不说这剧绝对算是“有干货”的那类。有些片子只会遍几个炫酷的见面再敲击几下键盘就算是完成了入侵过程。但是，这片可是直接放特写让你看清命令行的每个字符，真真切切，与现实接轨。Metasploit，SET,还有Raspberry Pi，让行家有种神奇的爽快感。还顺便争论一下KDE和Gnome哪个好用，或者是教导一下小青年们破解不了WPA-2加密的WIFI信号时应该怎么办。好玩归好玩，工具是其次，重要的还是灵魂。

？

感觉10集看完下来有不少细节是可以前后呼应来揭示真相的，然而感觉剧情已成次要，最是喜欢每集Elliot深沉的自言自语，总是能给我带来新的思考。就选择第一集的一段来结尾。

What is it about society that disappoints you so much?
Oh, I don’t know. Is it that we collectively thought Steve Jobs was a great man, even when we knew he made billions off the backs of children? Or maybe it’s that it fells like all our heroes are conterfeit. The world itself’s just one big hoax. Spamming each other with our running commentary of bullshit masquerading as insight, our social media faking as intimacy. Or is it that we voted for this? Not with our rigged elections, but with our things, our proterty, our money. I’m not saying anything new. We all know why we do this, not because Hunger Games books make us happy but because we wanna be sedated. Becuse it’s painful not to pretend, because we’re cowards.

最近遇到一个比较有意思的注入点，可以说通过这个注入点的深入挖掘对SQL语句的运用，SQL注入的原理乃至MySQL数据库的特点都有了比较完整的认识。
接下来简单记录以下发现及利用的过程。
#0x01 发现
不是我吹牛，这个注入点属于可遇不可求的那种：），用一般扫描器是绝对扫不到的，也许也只有无聊的人会用这么愚蠢的方法找注入点，无计可施的情形下找到这样的漏洞说不定也真是运气好。
目标站是某APP的web后台，注册后挂上BurpSuite代理随便翻翻，后来发现一个POST包，只有一个参数。加单引号报错，加两个单引号就不报错了，这下有一半把握是注入了。再尝试构造合法SQL语句检测，如图：

曾想过要年少成名，可惜已经超过被称为神童的年龄
曾想过要一往情深，可惜已经过了被当作早恋的年纪
曾想过要放荡不羁，可惜已经没有被指责叛逆的资格

还好，我面前正有一份全新未开封的20岁

还是陆续把旧Blog里面有价值的文章搬过来吧。
这是高三时很喜欢的文章，每次觉得前途渺茫的时候都会想起它。

继续聊聊大学。
我这个人对生活的记忆力一向不怎么好，所以现在每每回想起大学生涯，恍如隔世一般，很多记忆碎片都模糊了。以后再想起什么就写点什么吧。
有一个被人问滥了的问题，你为什么要上大学？继而引申出来的问题有：为什么要考研？为什么要读博？为什么要出国？
听说今年大学生就业率再创新低，于是有很多农村子弟选择放弃高考，外出务工。原因是大学每年要交2w的学费和生活费，读完大学对很多家庭来说是一个沉重的负担，最后读了4年出来还找不到工作。
所以为什么要上大学？是为了学到知识吗？
很遗憾的是，我认为大多数人不是为了学到知识而来上大学，而是为了文凭。
很多人可能会说，读大学可以改变一个人的命运。很多人父母没有受过高等教育，因此迫切希望子女能够读一个大学，毕业后可以搏一个好的前程。其实在这种心态看重的还是文凭，希望那张薄薄的纸可以改变命运。
在徐公子胜治的小说《地师》中，主人公却是“想上什么大学就上什么大学”，世间的大学无论是清华、北大，还是哈佛、剑桥，人家想上就想。
靠，这么牛？
没错，因为人家真的是去“上大学”、学知识的，而不是去搞文凭的。
他用的办法说穿了也很简单：混进大学里去听公共课。一般几个班在一起上的公共课，也没什么人会管是不是多了个不认识的人。混的脸熟了，还有可能混进去听一些小班的专业课，授课老师一般也不会管。
被发现了怎么办？发现了就发现了呗，又不会揍你，换个大学接着混。
有趣的是在电影《3 Idiots》（三傻大闹宝莱坞）里也描述了类似的场景。主人公兰乔在大学里遇到了一个杂役，杂役家中贫困，没钱读书。兰乔有一天就跟这个杂役说，去花点钱买身校服，然后就可以混进来读大学了，想听什么课就听什么课。
顺带一提的是，这是部很好看的励志电影，在豆瓣上获得了9.1分的高分，如果还没看过的话，强烈推荐看看。
也是在这部影片中，兰乔说了这么句话：“你们都陷入比赛中，就算你是第一，这种方式又有什么用？你的知识会增长吗？不会，增长的只有压力。这里是大学，不是高压锅……”。
兰乔无情的抨击了应试教育，中国的教育何尝不是如此，训练出来的人都是做题高手，但知识和学问增长的真的有限。
“想上什么大学就上什么大学”的方法我没有用过，也不知道在现实中是否有效。但根据我在大学里的经历，想要混去听听课，多半是可行的。
可能有人还是要问，那文凭怎么办？看，看重的还是文凭吧！
如果用黑客的思维方式，那就是买一张呗！想要啥文凭就有啥文凭。
你这不是怂恿人违法犯罪么？那就当我什么都没说吧！
我想说的是，你上大学真的是为了学知识，还是为了那张文凭？
学知识是为了提高自身的素质和修养，拿文凭是为了敲门砖。敲门砖可以有很多方法，提高修养却只有一条路。
转自道哥的黑板报

刚好又到了高考报志愿的时候，分数理想的当然就如同文章标题一样，或是有着一种选择太多而导致的幸福的烦恼；而分数不理想的要好好看看文章，如果一个人连上大学是为了什么都不知道，那还不如不上大学。我好像没有什么资格理直气壮地说这些话，有时候选择太多的确就容易忘记初衷。还记得高三开始时最放松的时间就是拿着手机边走回宿舍边看每天更新的道哥的黑板报。即使道哥好久没有更新黑板报了，只愿当初他带给我的想法永远留在心上。

书是人类进步的阶梯。 ——高尔基

以下是2014夏至今读过的书。

• 图解HTTP / (日) 上野宣著; 于均良译
• 黑客与设计 剖析设计之美的秘密 Design for hackers : reverse engineering beauty / (美) David Kadavy著; 苑永凯译 eng
• 改变未来的九大算法 / (美) 约翰·麦考密克著 Nine algorithms that changed the future / John MacCormick著; 管策译
• SQL注入攻击与防御 SQL (美) Justin Clarke著; 施宏斌, 叶愫译

以上是在学校图书馆借书的记录，如果我只会读这些书，那也太呆了点。

高尔基说书是人类进步的阶梯，那么电子书就是人类进步的电梯。

以下是通过kindle阅读的书：

• 这才是中国最好的语文书 /叶开 也许是过了读语文书的年龄了，感觉一般
• 俗世奇人 / 冯骥才 文风很是喜欢
• 你一定爱读的极简欧洲史 / John Hirst 不是按照时间顺序来讲的，记得不是很清晰了
• 想当厨子的生物学家是个好黑客 /Marcus Wohisen 著 肖梦 译 乱七八糟的书名系列
• 我知道你不知道的自己在想什么 /果壳 乱七八糟的书名系列/讲的关于心理学的实用小知识，推荐
• 特斯拉自传 / Tesla 其实自传的成分不大
• 量子物理史话——上帝掷骰子吗？ /曹天元 用简单有趣的语言改变你对世界的看法
• 从你的全世界路过 / 张嘉佳 听说是畅销书榜首？
• 对“伪心理学”说不 / Keith E.Stanovich 教你分辨心理学专家与神棍
• 三体 三部曲 / 刘慈欣 有些书是不看才需要理由的
• 一个瑜伽行者的自传 / Paramhansa Yogananda 明知道是他在吹牛皮却能让你的心平静下来
• 梦的解析 / 弗洛伊德 大名如雷贯耳，在《对“伪心理学”说不》里面被点名不科学，为了验证此观点特地拜读。嗯，故事还是编的不错的。
• 中国误会了袁世凯 / 吕峥 不是中国误会了谁，而是历史选择了谁。官场为人处事，莫过于此。
• The Nature of Code /Daniel Shiffman 用Processing创造新世界，神作
• 黑客与画家 /Paul Graham 可以被奉为人生信条的读物
• 乌合之众-大众心理研究 / Gustave Le Bon 观点至今仍觉新颖，只是论据已沦为陈词滥调
• 菲利普·K·迪克科幻短篇小说集 / Philip K. Dick 短篇小说真的会出人意料，而《少数派报告》《仿生人会梦见电子羊吗？》等也是充满超凡的想象力，只是节奏有点拖沓
• JavaScript DOM编程艺术 / Jeremy Keith Javascript 入门最佳选择
• 人月神话 / FrederickP.Brooks.Jr. 谢谢你让我知道了软件工程真的是一项工程
• Violent Python / TJ O’Connor 用python征服身边的设备
• Black Hat Pyton / Justin Seitz 同学你怎么可以把python用得这么猥琐
• 最璀璨的银河——刘慈欣经典作品集 / 刘慈欣 已经分不清读过每篇之后的赞叹是源于作者的想象力还是应该源于存在无穷可能的宇宙

好像已经不是第一次写这个题目的，当初说好了把冬至夏至作为一个个里程碑来写点东西的。
东西没写多少，人倒是长大了／老了。身边的人都说我话很少，其实我从小话就多的很，只是长大了很多往往就不知道该对谁说而已。这次的填话的坑叫做Hexo，相比之前的WordPress无论从折腾系数，优雅程度，技术逼格来说都更胜一筹。静态生成网页应该算是最前端的写Blog方式了吧。

也不知道为什么往往是临近考试才会有闲功夫来搞这些不务正业的东西，这两天恬不知耻的修改了next 主题，感谢issnan大神带来质量这么高的Hexo主题。我参考了自认为还过得去的审美观，随手配了点颜色，用dirty hack的方式写了几行糟糕的javascript动效代码，然后就往github上挂了。

说了这么多和太阳直射北回归线没有关系的屁话，最后还是小小的庆祝一下夏至以及即将到来的暑假。

来，干了这杯夏天！