Hack the box nous demande de fournir un token d'invitation. Mais il n'est dit nul part ou obtenir ce token. En fait, il faut hacker ce premier formulaire pour l'avoir (faites vos preuves pour entrer ...).

En examinant la page, nous trouvons un js : https://www.hackthebox.eu/js/inviteapi.min.js . En examinant le js, nous voyons qu'ils fournit une fonction makeinvitecode(). Nous retournons sur la page d'invitation, et à l'aide de la console firefox, nos exécutons cette fonction.

Nous obtenons un code résultat contenant qui en décodant le base 64 nous dit d'apper sur /api/invite/generate en POST.

curl -XPOST https://www.hackthebox.eu/api/invite/generate

nous obtenons un nouveau json, qui contient notre payload à décoder en base64 et nous avons notre clef d'invitation !