comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Resolviendo el Code Invite de Hack The Box

  • 1 Respuestas
  • 514 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5400
  • Actividad:
    40%
  • Reputación 31
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« en: Octubre 03, 2018, 03:36:04 pm »
Hola a todos! Hace poco me pidieron que creara un team en HTB y para ello necesitaba tener una cuenta. Al entrar al sitio vi que para registrarse había que ingresar un "invite code" y me dijo @No tienes permisos para ver links. Registrate o Entra con tu cuenta que es un CTF, es decir, para registrarse, hay que obtener el flag y con eso registrarse.


Resolverlo es facil, simplemente hay que inspeccionar el código fuente de la página


Hay un JS bastante llamativo, el cual se llama "inviteapi.min.js" y al mirarlo en detalle me topé con esto:


Mucho no se entiende, pero casi al final tira palabras claves tales como "Console", "verifyInviteCode", "makeInviteCode", entre otras.. Asique lo que se me ocurrió, fue ejecutar en la consola del navegador "makeInviteCode()" para generar el código que necesito.

Esto me devolvió un 200 con una especie de JSON que tenía este contenido:


Código: Text
  1. data: "SW4gb3JkZXIgdG8gZ2VuZXJhdGUgdGhlIGludml0ZSBjb2RlLCBtYWtlIGEgUE9TVCByZXF1ZXN0IHRvIC9hcGkvaW52aXRlL2dlbmVyYXRl"
  2. enctype: "BASE64"

Esto me tiró una cadena encodeada con BASE64. Pueden usar la web No tienes permisos para ver links. Registrate o Entra con tu cuenta para saber que quiere decir


Ahora me dice que debo hacer un POST a "/api/invite/generate"

Con Linux tirando un: "curl -XPOST No tienes permisos para ver links. Registrate o Entra con tu cuenta" es suficiente, pero en mi caso que estoy en Windows, utilizo CMDER que es una consola que acepta comandos de Linux

El resultado será este:


Nuevamente es un BASE64, lo volvemos convertir y tendremos nuestro código de invitación



Y al clickear en Sign Up, nos llevará a la página de registro.


NOTA: Algo que noté, es que los cifrados pueden cambiar, la primera vez me salió un ROT13 y para este tutorial me salió BASE64. De igual forma no hace diferencia, se resuelve de la misma forma, solo hay que cambiar el tipo de cifrado.

Saludos y espero que les sirva,
ANTRAX


Desconectado crist12ben

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    1.67%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Octubre 26, 2018, 10:05:03 pm »
acabo de revisarlo y por lo visto cambio, en la traducción ocurre un problema, porque al decodificar la base 64 ocurre lo siguiente In order to generate the invite code,(]YK[]K[]
¿Como podría solucionarlo?

 

¿Te gustó el post? COMPARTILO!



Resolviendo Crackme con Retdec

Iniciado por rollth

Respuestas: 0
Vistas: 2060
Último mensaje Enero 05, 2018, 11:59:08 am
por rollth
Resolviendo CrackMe con Pipes

Iniciado por rollth

Respuestas: 1
Vistas: 1470
Último mensaje Junio 30, 2017, 04:51:31 pm
por blackdrake
Resolviendo el CTF: RickdiculouslyEasy: 1 @ VulnHub.com

Iniciado por cnfs

Respuestas: 2
Vistas: 1926
Último mensaje Noviembre 03, 2017, 08:29:17 am
por cnfs