最近在看杨老师的网络安全自学篇系列,再看到后面的时候,杨老师介绍了一个在线的靶场:Hack The Box,亲身体验了一下,感觉是一个检验和提升自己的渗透能力,因此介绍给大家。

0x00 简介

Hack The Box是一个在线平台,可让您测试和提高网络安全技能。负责任地使用它,不要破坏您的同事…

可以理解该平台是一个在线的靶场,通过类似CTF的形式出题,不过更加接近于真实的环境。通过练习可以学习到各种各样的知识,各种工具的使用。

0x01 注册

首先打开官网,向下翻动一小截,发现join

点击,进入填写邀请码的界面。

我们可以通过F12或在url前加view-source:来查看源码。

可以发现其中引用了/js/inviteapi.min.js,访问https://www.hackthebox.eu/js/inviteapi.min.js

可以看到js源码。

观察到其中有makeInviteCode,我们直接在console中执行该方法。

得到base64编码的字符串,通过在线base64解码网站得到:

需要我们提交一个POST请求,我们这里通过HackBar模拟POST请求。

得到code,发现是base64编码后的,因此再次解码,得到邀请码,填入后,进入注册界面。

最后的验证码是google的人机验证,你懂得,可查看我的个人博客。

然后去填入的邮箱,查收邮件,确认注册,你就可以愉快的进行练习了。可以在challenges中查看题目。

0x02 总结

在找到引用的js文件后,分析代码时,不够仔细认真,没有发现其中明显的makeInvateCode,以后在练习中,一定要耐下心来,审查好每一个关键要素,不要遗漏。