Hack the box, invitation
Par pepin le lundi, novembre 18 2019, 20:43 - Pentest - Lien permanent
Hack the box nous demande de fournir un token d'invitation. Mais il n'est dit nul part ou obtenir ce token. En fait, il faut hacker ce premier formulaire pour l'avoir (faites vos preuves pour entrer ...).
En examinant la page, nous trouvons un js : https://www.hackthebox.eu/js/inviteapi.min.js . En examinant le js, nous voyons qu'ils fournit une fonction makeinvitecode(). Nous retournons sur la page d'invitation, et à l'aide de la console firefox, nos exécutons cette fonction.
Nous obtenons un code résultat contenant qui en décodant le base 64 nous dit d'apper sur /api/invite/generate en POST.
curl -XPOST https://www.hackthebox.eu/api/invite/generate
nous obtenons un nouveau json, qui contient notre payload à décoder en base64
et nous avons notre clef d'invitation !