Hack The Box: Hoe een n00b zijn invite code kreeg

Gepubliceerd op 11 maart 2020 om 10:30
Hack The Box: Hoe een n00b zijn invite code kreeg

Een tijd geleden kreeg ik van een goede vriend van mij de tip om de documentaire 'Rats & Slaves' van NPO3 te bekijken. Kort samengevat gaat de documentaire over geïnfecteerde/gehackte computers van nietsvermoedende slachtoffers en hoe deze gehackte computers verkocht worden op het Darkweb door zogeheten 'RATters' (RAT staat voor Remote Acces Trojan). Deze gehackte computers worden vervolgens gebruikt om mensen te bespioneren voor de fun of om mensen af te persen (Ik raad je echt aan deze documentaire te kijken!).

NPO3 - Gehackte computers kopen | Rats & Slaves | 3LAB DOCU

Ethical Hacking

Na het zien van de documentaire raakte ik steeds meer geïnteresseerd in 'hacking' en begon ik mij in te lezen in cybersecurity en penetration testing (ook wel Ethical Hacking genoemd). Ik was benieuwd naar hoe je misbruik kon maken van kwetsbaarheden van computers, maar vooral.. hoe kan ik mij hier tegen weren?

Zodoende kwam ik na lang zoeken op de website 'HackTheBox'. HackTheBox (HTB) is een online platform om je skills op het gebied van penetration testing en cybersecurity op een legale wijze te testen. De website heeft 'eigen machines' die je mag hacken en je wordt er zelfs door beloond middels punten. Hoe meer punten je scoort hoe hoger je op de ladder komt binnen de ethical hackers community.

Na het lezen van positieve reviews kreeg ik het geweldige idee om mij aan te melden op HTB. Helaas bleek dit aanmelden niet zo eenvoudig te zijn als je gewend bent van andere website of online platformen.. nee.. om lid te worden van deze online community moet je jezelf naar binnen zien te hacken (hoe gaaf is dat dan!). In dit artikel wil ik jullie laten zien hoe het mij gelukt is om lid te worden van HTB.

Spoiler alert! Als je zelf van plan bent jezelf naar binnen te hacken, lees dan niet verder!

Hack your way in stap-voor-stap guide

  • Zodra je op de homepage van HTB komt en naar beneden scrollt, dan zie je al gauw de mogelijkheid om het online platform te joinen. Door op "JOIN" te klikken wordt je doorgeleid naar https://www.hackthebox.eu/invite en krijg je meteen het vriendelijke verzoek om je een weg naar binnen te hacken.
  • Als n00b (nieuweling, leek) wist ik niet meteen hoe ik verder moest gaan, maar het leek mij verstandig om de pagina eens te gaan inspecteren middels 'rechtermuisknop' en dan 'inspecteren' (ikzelf gebruik overigens Google Chrome als webbrowser).

 

  • Als het goed is opent zich nu een 'console' met het tabblad 'Elements'. Op het tabblad 'Elements' zoek je naar het stukje '/js/inviteapi.min.js'.
  • Ga nu naar https://hackthebox.eu/js/inviteapi.min.js en dan krijg je een JS file (een tekstbestand met JavaScript code die instructies geeft aan webpagina's) te zien. Met flink wat code. Na een korte zoektocht kom ik een stukje code tegen genaamd 'makeInviteCode'. Bingo! Laten wij dit eens verder onderzoeken!
  • Ik ga weer terug naar de invite pagina en 'Inspecteer' wederom de pagina om de vervolgens naar het tabblad 'Console' te gaan. Tot mijn verbazing zie ik een mooie doodskop en als ik verder naar beneden scroll heb ik de mogelijkheid om zelf wat code te gebruiken.
  • Met de verkregen code 'makeInviteCode' probeer ik om een invite code los te krijgen.. Tsjakka! Helaas is de uitkomst versleuteld middels Base64 (zie de details)
  • Met een online decoder (ikzelf gebruik base64decode.net) krijg ik snel de versleuteling omgezet naar 'normale taal' en krijg ik het bericht: 'In order to generate the invite code, make a POST request to api/invite/generate'.
  • Oke.. op dat moment liep ik vast. Wat nu? Met een snelle Google zoekopdracht kwam ik erachter dat ik met POST een invite code kon bemachtigen en maakte ik een POST request. Om dit statement af te kunnen vuren moet je eerst de 'Command Prompt' opstarten via 'Start' en vervolgens 'cmd' te typen en op 'Enter' te rammen. Als het goed is opent zich dan het 'Command Prompt' scherm en voer je het statement in zoals op de afbeelding en druk je wederom op 'Enter'.
  • Zoals je ziet staat er weer een stukje code wat je moet decrypten zoals wij dat eerder hebben gedaan. Met het decrypten van dat stukje code krijg je de invite code te zien en voer je deze in op de Sign Up page van HTB. Well done! Je bent binnen!

Schrijver: Calvin