HackTheBoxに登録してみる
HackTheBox
Hack The Box is an online platform allowing you to test your penetration testing skills and exchange ideas and methodologies with thousands of people in the security field. Click below to hack our invite challenge, then get started on one of our many live machines or challenges.
とりあえずペンテストスキルを色々試すことができるということで、ハッキング用マシンとかCTF的問題が用意されている。
HackTheBoxに登録
今回は何故「やってみる」ではなく、「登録してみる」なのか。
まず、このサイトのコンテンツを利用するために無料登録が必要なのだが。
[About Hack The Box Pen-testing Labs]のJoinを押して、登録の最初の画面がコレ↓
登録には「Invite Code」なるものが必要ということだが、一見すると「Invite Code」なるものは見つからない。つまり、「HackTheBox」は登録からスキルを試されているのである。登録してみるということで、Writeup的なものを書こうと思ったが全く記事が見つからないのだが、Writeup的なものはご法度なのか。
それともWeb初心者だから分からなかっただけで楽勝すぎるということなのか。
登録概要
Web初心者的に登録概要を説明すると、
Invite Codeを生成してそうなapiを見つける
→生成してそうな関数を呼び出す
→Encodeされたものをデコード
→デコードしたメッセージに従う
→「Invite Code」ゲット!
怖いので詳細は記述しない。登録にあたっては、怪しいファイルを見つけて、中身の怪しいものを調べれば良いかと。
また、参考サイトを見てWeb初心者が困ったことを載せておく。
登録にWeb初心者が困ったこと
1. Google ChromeのデベロッパーツールのConsoleタブ初めて触った
Consoleタブ使えっていわれたらココ
2.もしcurl使うならWindowsでは気をつけろ
コマンドプロンプトではcurlコマンドはLinuxマシン等と同様に使える。例えば、
$ curl -XPOST http://www.URL.com
しかし、PowerShellでは上手くいかない。
とりあえず、curlが使いたいなら。
curl入れよう。簡単にcurl使うだけなら、エイリアス変えずにとりあえずフルパスで起動してオプション付けて使おう。
PowerShellにcurlの代わりになるものは無いのかって?
ありますよ。先にあったエラー文に書いてあるように「Invoke-WebRequest」を使う。
じゃあ例えば、
> Invoke-WebRequest -Method POST -Uri http://www.URL.com
だとまだ上手くいかなかった。
これでいけた。
登録して何ができるか
正直よく分かってません。CTF的問題とかVPNで接続する攻撃可能なマシンが用意されているようだ。公式がこれらのWriteup的なものを用意しているようだが全て有料です。
今度何か挑戦したら紹介します。
