Web - Client

Salut
j’écris pour savoir si après avoir envoyé le lien vers le site attaquant (qui a le script CSRF) je dois attendre une réponse par mail ou je dois aller checker de temps en temps si l’admin a vue le site, je ne suis pas sûr a 100 % sur mon script mais je pense que ça devrait marcher.

D’après mon expérience du root-me :
– les challenges ne permettent jamais l’envoi de mail
– les challenges où l’on doit faire exécuter quelque chose à un admin sont réalisés par un bot. si on n’a pas une réponse dans les deux minutes c’est que l’attaque n’a pas fonctionné.
– l’idéal est de trouver un moyen d’exécuter ton attaque en local ou sur ton navigateur pour trouver ce qui cloche.

Salut, je sais pas si c’est considéré comme du spoil, mais vu que c’est totalement contre intuitif et que ça n’a rien à voir avec l’exploitation d’un csrf je vais quand même le dire, le formulaire de contact est vulnérable aux injections html

merci de vos réponses mais j’ai essayer d’envoi le lien vers mon site contenant le script, via, juste l’URL, via du BBcode [img} (on ne sais jamais) , dans une balise <a> mais ducoup je vais essayer avec une injection HTML

yeah ngood

Je suis encore blocker je viens de tester mon script et il marche a 100 % (je ne suis pas admin)
mais quand j’envoie le links au bot il l’ignore, je dois lui envoyer sous quel forme
j’ai essayé tout ce que j’ai trouvé mais il n’y prête pas attention

As tu lu la doc associée au challenge ?
C’est indiqué comment faire dedans, si tu envoies un simple lien au bot rien ne le force à cliquer dessus.

Oui j’ai essayé les injection de script js avec

et aussi via des img mais appart si je m’y prend mal ça n’as rien donné

C’est bon j’ai réussi et il ne fallait pas passer par un site extérieur  😊