HacktheBox 邀请码获取

HacktheBox 是一个渗透测试和网络安全方面的在线实战平台。注册该平台，需要提交邀请码。而邀请码获取的方式实际上是通过完成一个的安全小测验。

---

点击页面上的 JOIN 按钮，会跳到注册页面，提示要输入邀请码

image.png image.png

打开浏览器的 F12 开发者工具：

可以看到页面引用到了 inviteapi.min.js 文件，该文件定义了多个函数，其中一个就是 makeInviteCode，明显与邀请码相关。

image.png

于是切换到 Console 标签，在控制台中调用该函数，得到如下结果：

image.png

可以看到，结果返回状态码为 200 的数据，其中 data 的值为 Va beqre gb trarengr gur vaivgr pbqr, znxr n CBFG erdhrfg gb /ncv/vaivgr/trarengr，还看到一个表示加密方式的字段 enctype ，它的值为 ROT13，于是网上找一个在线的解码站点去解码：

image.png

解码的结果告诉我们，要生成邀请码，请发送 POST 请求到 /api/invite/generate，所以我们回到命令行，使用 curl 命令去发送该请求：

• curl -X POST https://www.hackthebox.eu/api/invite/generate

image.png

返回的结果中，明显使用了 base64 编码，将其解码，得到邀请码：

image.png