Write-up completo de la máquina retirada Shocker de HackTheBox. Explotamos la vulnerabilidad ShellShock (CVE-2014-6271) en un script CGI para obtener RCE y luego escalamos privilegios con sudo perl. Ideal para aprender explotación clásica de Bash y escalada básica en Linux.
Cómo abusar de los wrappers php://filter y zip:// para pasar de un LFI “complicado” a RCE: extraer código fuente vía base64 y ejecutar mediante inclusión de un ZIP.
Guía práctica para detectar y explotar vulnerabilidades de SQL Injection (SQLi) de forma manual y automática. Incluye técnicas UNION-based, enumeración de bases de datos, extracción de datos y uso de sqlmap para casos blind y rápidos.
Cheat sheet de LFI: path traversal, null byte, /proc/self/environ y wrappers PHP (filter/zip/data/expect) con ejemplos directos para laboratorio.