Selamlar.
Bu yazıda “HackTheBox” isimli siteden biraz bahsedip
ardından da kayıt olmak için gereken ufak problemi nasıl çözdüğümü anlatacağım.
HackTheBox, vulnhub gibi sanal makineler barındıran bir
antrenman sitesi. Ama tek bir farkla: kayıt olmak içinde küçük bir soruları var ve bu küçük problemi
çözebilirsek eğer kayıt olabiliyoruz.
Bu arada HackTheBox’ın, çoğu websitesinde ve OSCP hazırlığı
için yapılan rehber blog yazılarında da OSCP makinelerine benzer makineler
barındırdığından bahsediliyor.
Tatava kısmını geçtiğimize göre sitede bulunan “join”
yazısına tıklıyoruz ardından, “Join HTB” kısmına da tıkladıktan sonra bizden
“Invite Code”u girmemizi isteyen bir kısım var.
Benim ilk yaptığım şey kaynak kodu görüntülemek oldu. “/js”
klasörü altındaki “inviteapi.min.js” dosyasını gördüm ve içine biraz göz attım.
Bu dosyadaki “verifyInvideCode” ve “makeInviteCode”
kısımları dikkatimi çekti. Bunları konsolda çalıştırmaya çalıştırsam da bana
bir artısı olmadı. Konsolda deneme sebebim bu 2 zımbırtının birer fonksiyon
olabilme ihtimaliydi.
Ardından invite kısmına tekrar geçtim ve burdan konsolda
denemek üzere yola koyuldum ki beni bir kuru kafa karşıladı.
Burada direkt konsola “makeInvideCode();” diyerek Object
kısmına girdim ve ROT13 ile şifrelenmiş metni elde ettim.
Ardından metni decode ettiğimde, bana “/api/invite/generate”
kısmına POST data ile istek atmam gerektiğini söyleyen bir metin daha elde
ediyorum.
Ardından, bu isteği yerine getiriyorum.
Bunu yapmanın bence en basit yolu Mozilla’nın eklentisi olan
“Tamper Data” ile uzantıya rastgele bir POST isteği atmak.
Ardından bir JSON cevabı alıyorum. İçerisinde yine BASE64
olarak şifrelenmiş bir metin var. Bunu decode ediyorum ve davetiye kodumu elde
ediyorum.
Geçmiş olsun.
Yararlandığım linkleri de şuraya koyimde sonra laf olmasın:
Hadi hayırlı işler
___
M.