Web - Client

Bonjour à tous,
Je suis sur une piste, pourriez-vous me confirmer que c’est la bonne ?
J’utilise un csrf avec un username prérempli avec ma payload.
Je laisse à l’admin remplir le secret et cliquer login.
Seulement... Ca ne fonctionne pas pour l’admin.

Lorsque je rempli moi même le secret, ça fonctionne très bien, le formulaire me dirige vers le vrai site, et transmets le username prérempli ainsi que le secret. Puis mon script s’exécute dans la page profile, et exfiltre mon secret.

Du coup le csrf et l’xss fonctionnent.
Le problème c’est que je ne sais pas si le bot est capable de remplir le formulaire et de l’envoyer...
Mon csrf est uploadé sur github : **************************

Je vous remercie pour votre aide.
Bien cordialement.

Update : Deuxième piste---------------------------

Etant donné que je ne parviens pas à effectuer le csrf, j’ai essayé un code qui ouvre une fenêtre profile et qui en extrait le secret en se basant sur le dom. Pour ça j’ai utilisé **************************, ************************** et **************************

Troisième piste---------------------
[REDACTED]

Je vous remercie pour votre aide.

J’espère ne pas avoir donné de solution sans le savoir.
Si ce poste pose un problème à cause des indices que j’ai pu donné, n’hésitez pas à modifier ce poste. Pourriez-vous dans ce cas me contacter en privé afin de parler de ce ctf.