Инвайт на закрытую площадку hack the box

  • Автор темы XDG12
  • Дата начала
  • Просмотров 3708 Просмотров

XDG12

Пролетарий
56
60
17 Фев 2019
Hack The Box - это онлайн-платформа, позволяющая вам проверить свои навыки тестирования на проникновение и обмениваться идеями и методологиями с другими членами схожих интересов.
5202


Для просмотра ссылки Войди или Зарегистрируйся
Правая кнопка мыши - Inspect Element - вкладка network

Если там пусто - обновить страницу. Здесь мы видим скрипты, которые подгружает страница. Нас интерисует inviteapi.min.js
Открываем исходный код. Видим некоторые консольные функции - POST, makeInviteCode и тд.

5203


Тыкаем на вкладку Console и вводим makeInvateCode()
В ответ получаем 200 ОК и зашифрованные данные ROT13

5204


Расшифровать их можем тут Для просмотра ссылки Войди или Зарегистрируйся

Расшифровав мы узнаем, что для получения инвайта нам необходимо отправить пост запрос на /api/invite/generate

Сделать это можно через BurpSuite, я заюзал curl

curl -XPOST Для просмотра ссылки Войди или Зарегистрируйся

Ответ - закодированный в base64 код инвайта.
Расшифровываем
echo "закодированый код инвайта" | base64 -d

Либо тут Для просмотра ссылки Войди или Зарегистрируйся

Вариант для нормальных пацанов:
Создаем скрипт пайтона с таким кодом.
"""
Rules 1: We know that nobody sent you the invite code
You don't have to inform anyone about "hacking" the invite code
Dont spoil ! I'am using this script to speed up the process ! try first to solve it
By Ihebski
"""
import requests
import base64
import json
print "[+] Hackthebox invite Code"
print "[+] connect to server hackthebox.eu ..."
print "[+] Invite Code : ",base64.b64decode(requests.post("Для просмотра ссылки Войди или Зарегистрируйся", json={"key": "value"}).json()["data"]["code"])


Выполняем))

Ни одна ссылка не является рекламой, удачи и успехов.