نکته : قبل از اینکه این مطلب بخونید تا تو سایت hackthebox عضو بشید این مطلب بدونید که برای ثبت نام نیاز به کد دعوت هست و برای اینکه کد دعوت داشته باشید نیازی به گشتن تو نت و درخواست تو گروهها و فرومها نیست و می تونید خودتون کد دعوت داشته باشید.پس شاید نیاز باشه قبل خوندن این مطلب خودتون یه کارایی بکنید و اگه نشد خب ما در خدمت هستیم !
یکی از روش هایی که می تونید مهارت های هکریتون رو توش بسنجید شرکت در ctfها و labهای آنلاین و رسمی و غیر رسمی هست . که در اون اغلب با ورود به سایت و بخش چالش ها و انتخاب چالش های مختلف مانند مهندسی معکوس یا رمزنگاری و ... می تونید در خصوص اون موضوع اقدام مهارت سنجی بکنید .
خوبیه این چالش ها اینست که هم میتونید مهارت خودتون رو بسنجید و هم توش چیزایی جدیدی رو یاد بگیرید .
یکی از این سایتهای جالب سایت hackthebox می باشد . برای حل چالش های این سایت نیاز به ثبت نام وجود داره و البته برای ثبت نام هم کد دعوت! ولی برای اینکه کد دعوت رو داشته باشید نیازی نیست تو گروه ها و سایتها جستجو کنید بلکه برای داشتن کد دعوت شما باید یک چالشی رو حل کنید !
در اینجا به بررسی و نحوه گرفتن کد دعوت در این سایت می پردازیم .
در ابتدا شما باید به بخش دعوت سایت برید :
حالا بسته به اینکه مرورگرتون چی هست (کروم یا فایرفاکس ) وارد بخش inspect Element بشید ( مرورگر بنده فایرفاکس می باشد که با راست کلیک کردن یا F12 به بخش فوق دسترسی دارم ) .
که حالا بخش جدیدی در انتهای مرورگر پدیدار میشه
در تب inspector دنبال یک کد جاوا به شکل زیر می گردیم :
مسیر فایل js رو کپی کرده و به ادرس اصلی سایت اضافه کنید یعنی به این آدرس برید(تو تب جدید باز کنید هنوز کارمون با این صفحه تموم نشده ) .که در این صفحه یه همچین چیزی رو میبینید :
همونطور که مشخصه با استفاده از تابع هایلایت شده میشه کد دعوت رو گرفت . پس اسم تابع رو کپی کرده و دوباره به صفحه دعوت بر میگردیم و اینبار در بخش کنسول این تابع رو وارد کرده و اینتر می زنیم :
اگر کارایی که گفته شده رو درست انجام داده باشید باید شکل زیر رو ببینید :
قسمت هایلایت شده کد دعوت شماست اما با الگوریتم ROT13 انکریپت شده . برای دیکریپت اونم می تونید تو گوگل واژه هایی مانند ROT13 decrypt رو جستجو کنید یا هم از این سایت استفاده کنید.) عبارت بین "" ها رو بردارید و تو سایت بدون هیچ تغییری کپی کنید .
خب بعد از دیکریپت می بینیم که هنوز چالش تموم نشده و از ما خواسته تا به یه آدرسی post کنیم .
برای post کردن میتونید از پاورشل و پایتون و ... استفاده کنید ولی با سرچ در گوگل online post req هم می تونید سایتهایی رو پیدا کنید که این کار می کنن. من از این سایت استفاده کردم :
که اگه ارسال رو بزنید نتیجه به این شکل نشون داده می شه :
قسمت های هایلایت رو ببینید نشون میده که عبارت هم باز کد شده و از رو عبارتم میشه فهمید که base64 هستش و حالا اگه اون دیکریپتش کنیم کد دعوت ما پدیدار میشه .برای دیکریپت base64 شما می تونید از ابزارهای مختلف استفاده کنید اما با سرچ عبارت online base64 decrypt در گوگل هم می تونید نتایجی رو ببینید که من از این سایت استفاده کردم .
خب کار تمومه و اگه این کد رو وارد کنید در باکس فوق ، صفحه رجیستر براتون ظاهر می شه !
والسلام