К основному контенту

Hack The Box - Получаем приглашение в лабораторию для хакеров.

Hack The Box это бесплатная Pentesting Lab. (Лаборатория пентеста) в которой вы можете усовершенствовать свои навыки взлома и научится чему-то новому.
Но обычным пользователям туда не попасть, вход только для избранных хацкеров. Для того, чтобы попасть в HTB нам нужно взломать систему приглашений и получить свой уникальный инвайт код.

Открываем главную страницу сайта:
Пролистав чуть ниже ты должен найти кнопку Join:

Переходим и видим следующие:

В заголовке страницы написано: "Can you hack this box?". Вызов принят. Для начала открываем просмотр кода страницы: ПКМ -> Искодный код страницы
Весь код написан в одной строке

Нажимаем Ctrl + F и ищем все скрипты.js. Нам нужен лишь один - inviteapi.min.js:

Перейдя по которому мы можем найти нужный нам POST запрос - makeInviteCode

Переходим обратно на страницу с инвайтом нажимаем F12, и открываем консоль:

В консоли пишем: makeInviteCode () и получаем следующие:
data: "Va beqre gb trarengr gur vaivgr pbqr, znxr n CBFG erdhrfg gb /ncv/vaivgr/trarengr" enctype: "ROT13"
Всё что написано в кавычках - зашифрованный текст методом ROT с ключом 13. Об этом говорит строка enctype: "ROT13". Те, кто проходил мой мини-квест по криптографии уже знают как его декордировать. Мы с тобой будем использовать онлайн сервис для декодирования ROT13.


"In order to generate the invite code, make a POST request to /api/invite/generate"
Если мы перейдём по пути hackthebox.eu/api/invite/generate Появляется надпись о том, что мы не на верном пути:

Нам нужно сделать POST запрос. Делается это при помощи дополнительного расширения для браузера HackBar (Firefox / Chrome)
F12 -> HackBar.
Теперь в самом ХакБаре тыкаем на Load URL:

Также нажимаем на Post data (т.к нам нужно сделать POST запрос) в поле для ввода вписываем:
POST /?foo=bar HTTP/1.1
Host: hackthebox.eu
Connection: close

Теперь нажимаем Execute и наш запрос отправился. В ответе от сервера видим следующее:
Казалось бы , что это то, что мы искали, но нет. Код зашифрован в Base64, об этом говорит символ "=" в конце. Опять декодируем текст в онлайн декодере:
Этот код окончательный. Вводим его в поле для инвайта:
И у нас показывается поздравление о прохождении и поля для регистрации:
Теперь можем залогинится и решать квесты, тренироватся пентестингу. Успехов.

@black_triangle_tg

Популярное

Пробив информации. Osint-ресурсы.

Думаю что эта подборка будет полезна и вам, список ресурсов не всеобъемлющий по этому всем кому есть что добавить, добро пожаловать в коментарии. Поиск По Фотографиям Поиск по лицу: FindTwin face search demo + @VkUrlBot Face search • PimEyes Betaface free online demo - Face recognition, Face search, Face analysis VK.watch – история профилей ВКонтакте Поиск первоисточника картинки и всех доменов где она хоститься: TinEye Reverse Image Search Reverse image search for images and video - Berify.com Search by image | Reverse Image Search on Google 2019 Reverse Image Search - Search By Image Reverse Image Search - Find Similar Photos Online Karma Decay - Reverse image search of Reddit.com Поиск фото по геометкам в социальных сетях: Поиск фото по геометкам в соц. сетях Поисковик фотографий с привязкой к геолокации Другое: Поиск по фото мошенников и фейков Поисковые Cистемы Людей Мир: Free People Search | PeekYou https://pipl.com/

Скрытые функции поисковика DuckDuckGo

Если пoисковик DuckDuckGo кому-то и известен, то в первую очередь в связи с повышенной приватностью. В отличие от Google или «Яндекса» он не собирает данные о пользователях, но и результаты у него не такие же хорошие. Однако стоит копнуть глубже, и оказывается, что это мощнейший инструмент, способный значительно облегчить и ускорить извлечение информации из Сети. Начнем с того, что на самом деле DDG — не совсем поисковик. Вернее даже, совсем не поисковик, а этакий агpегатор ответов с разных поисковиков. В своей работе он использует поисковую выдачу Yahoo, Bing, Yummly, «Яндекса», «Википедии» и сотен других «надежных» источников. Такая особенность делает DDG очень точным, если источники содержат информацию именно по этому запросу. Он легко выдает исчерпывающие ответы на запросы типа «linux df», «долгая счастливая жизнь», «Java InterruptedException» или даже «is it raining». Но как только ты введешь что-то более сложное, что-то, чего не окажется в источниках DDG,

Пишем бот для рыбалки в игре Albion Online на языке Python (Albion Online Fishing bot)

import numpy as np import cv2 from mss.linux import MSS as mss from PIL import Image import time import pyautogui as pg import imutils import mss import numpy import pyautogui template = cv2.imread("2019-07-02_06-55_1.png", cv2.IMREAD_GRAYSCALE) w, h = template.shape[::-1] color_yellow = (0,255,255) mon = {'top': 80, 'left': 350, 'width': 100, 'height': 100} def process_image(original_image):     processed_image = cv2.cvtColor(original_image, cv2.COLOR_BGR2GRAY)     processed_image = cv2.Canny(processed_image, threshold1=200, threshold2=300)     return processed_image def ss():     op = 1     with mss.mss() as sct:         monitor = {"top": 40, "left": 0, "width": 800, "height": 640}         while "Screen capturing":             last_time = time.time()             img = numpy.array(sct.grab(monitor))             gray_frame = cv2.cvtColor(img, cv2.COLOR_BGR2GRAY)             res = cv2.matchTem