Ciao a tutti, in questa seppur breve lettura scopriremo cosa è HackTheBox e come possiamo accedervi.
Cosa è.
HackTheBox è una piattaforma online, un laboratorio dove si possono testare e migliorare le proprie conoscenze riguardo il campo della Cyber Security (o Sicurezza Informatica per gli amanti della propria lingua).
L’accesso a questo sistema non segue il classico iter: Registrati→Accedi; per sbloccare il form ed effettuare la registrazione bisogna ottenere un codice d’invito che -come possiamo immaginare- dobbiamo procurarcelo con le cattive (e vedremo dopo come).
Solo una volta essere riusciti ad accedervi questa piattaforma ci mette a disposizione una rete per scambiare opinioni ed idee con gli altri challenger ed un’innumerevole numero di sfide sempre aggiornate dove, alcune si rifanno a casi che possono essere reali ed altre invece seguono il classico stile delle CTF. Il completamento di ogni sfida fornisce dei punti che ci permettono di scalare una classifica ed ottenere quindi sempre più prestigio.
Come accedervi.
Bene, come detto prima per accedervi dobbiamo procurarci il codice d’invito, vediamo come.
Una volta essere andati su hackthebox.eu scorriamo la pagina fino a trovare la sezione “Join Now”; una volta cliccato su Join ci troveremo davanti un form che ci chiede di inserire il codice d’invito.
Apriamo dunque i DevTools premendo Ctrl+Shift+I, andiamo nella sezione “Debugger” ed espandiamo la cartella “js”. La prima cosa che notiamo è che all’interno esiste un file che si chiama inviteapi.min.js, clicchiamoci sopra e continuiamo a cercare indizi. A questo punto ci troveremo di fronte ad una schermata del genere:
Per avere la conferma di quanto letto in quel codice possiamo seguire due percorsi: il primo ci dice di vedere cosa succede se proviamo a fare una richiesta POST a quell’URL, il secondo ci dice di provare a richiamare quella funzione. Analizziamoli singolarmente.
Per eseguire una richiesta POST abbiamo due alternative ed usare un metodo o l’altro è equivalente, otterremo sempre la stessa risposta:
- Usare curl tramite un terminale;
- Usare qualche estensione per il nostro browser (io che uso Firefox consiglio l’addon RESTClient).
$ curl -X POST https://www.hackthebox.eu/api/invite/how/to/generate
Se vogliamo usare l’addon RESTClient compiliamo i vari campi nella maniera riportata in figura:
Per provare invece a richiamare la funzione dobbiamo recarci nella scheda “Console” del tool d’ispezione e digitiamo makeInviteCode(). Ci troveremo d’avanti una finestra del genere:
- ROT-13: che non è altro che lo stesso algoritmo del Cifrario di Cesare la cui chiave è 13 ed in questo caso utilizzeremo il tool all’indirizzo decode.org;
- BASE64: in questo caso utilizzeremo il tool all’indirizzo base64decode.org
Come potevamo aspettarci il contenuto di quel testo è il seguente: “In order to generate the invite code, make a POST request to /api/invite/generate”.
Arrivati a questo punto non ci resta altro che eseguire una richiesta POST all’indirizzo fornitoci, usando le modalità viste precedentemente.
Siete invitati gentilmente a segnalare l'eventuale presenza di errori e a rispondere alla discussione qualora incontraste dubbi e/o problemi
Saluti, CrashTest