本文记录 backthebox 学习使用和渗透测试的详细过程
- 简介
- 破解邀请码
1. 简介
-
常听别人说练习渗透测试可以使用 backthebox 这个在线的实验室,然后很容易地找到了官网,但是主页没有登录的入口。
终于在页面的中间部分找到了
Jion HTB
按钮入口 -
之后就进入了邀请页面
-
看到需要邀请码,下面问题来了,邀请码从哪里弄到呢
2. 破解邀请码
-
通过参考网上的经验方法,可以按 F12 进入浏览器的开发者模式,在控制台页面中输入
makeInviteCode()
-
输入命令之后会有回显信息
-
使用 ROT13 解密方式解密,解密结果为
In order to generate the invite code, make a POST request to /api/invite/generate
翻译如下:
为了生成邀请码,请新建 POST 请求到 /api/invite/generate
-
根据提示,我们需要构造一个post请求包发送给网站就可以了
可以使用命令行工具来进行发送 post 请求
curl -XPOST https://www.hackthebox.eu/api/invite/generate {"success":1,"data":{"code":"QU5ST1AtWUxXUUUtTVJLS1ctWU5JSFItTE9NUFU=","format":"encoded"},"0":200}
返回结果中的
QU5ST1AtWUxXUUUtTVJLS1ctWU5JSFItTE9NUFU=
是使用 base64 编码的,进行 base64 解码即可轻松获取邀请码 -
使用邀请码进行注册的时候会出现谷歌认证,所以如果如果挂代理的话,邀请码还需要通过代理的主机重新获取。
谷歌认证需要自备梯子
-
登录之后是这个样子的