Hack The Box是一个国外的靶机在线平台(官方网址:https://www.hackthebox.eu/),实验环境将实时更新并且需通过 V** 形式连接,允许您测试您的渗透测试技能,并与其他类似兴趣的成员交流想法和方法。正如其首页宣传的这是一个庞大的黑客游乐场,可以尽情享受实践渗透测试技能,网络安全学习必备实战平台!
如果出现以下页面,则需要邀请码,得接受这个挑战靠自己获取。
使用view-source:https://www.hackthebox.eu/invite,查看源代码
发现提示
发现可疑的js文件:/js/inviteapi.min.js,inviteapi使用邀请接口
查看该js文件内容
在控制台进行调用,给出了提示,有可能是base64编码也可能是ROT13编码
makeInviteCode()
把base64解一下码得
In order to generate the invite code, make a POST request to /api/invite/generate
根据提示,使用POST方法,向下面的那个接口提交数据,我这里是使用火狐浏览器的hackbar插件,post提交数据
然后使用base64解密?得到邀请码
登录进去后,在labs中可以在starting point初始点中开启简单靶机,并开始渗透测试
选择目标靶机,并生成环境
生成靶机环境成功,将会显示目标IP
以Starting Point靶机为例,进入Labs中的Starting Point,选择右上角的Connect to Staring Point
点击下载Open V** 配置文件
接着选择tcp协议然后Download Connection Pack在Kali中执行
openvpn xxxxxx.ovpn
当显示 Initialization Sequence Completed
时执行成功
再回到HackTheBox,发现已经成功连接了,此时可以对目标机器发起渗透测试了....