0x0 Web - Client

mardi 22 octobre 2019, 17:09  #1
Web - Client - XSS Stockée
Anon101
  • 1 posts

J’arrive à récupérer mon propre cookie sur beeceptor mais pas celui de l’admin. Une astuce ?

Edit : Problème résolu, j’avais fais une erreur. Excellent challenge.

mardi 22 octobre 2019, 22:05  #2
Web - Client - XSS Stockée
Narkrasg
  • 6 posts

Salut,
Pourrais-tu m’aider stp ?
Pour l’instant, j’ai fais la redirection sur le site de beeceptor et je vois dès que quelqu’un se connecte.
Mais j’avoue que je ne sais spas trop comment ça marche, et encore moins comment récupérer le cookie. J’ai lu les documentations et me suis renseigné mais je ne comprends pas trop...
Merci

mardi 22 octobre 2019, 23:32  #3
Web - Client - XSS Stockée
ced
ced
  • 1 posts

Salut,
Si tu vois bien les requêtes qui arrive sur le serveur web alors il te suffit de passer en paramètres de l’URL le contenu du cookies et tu pourras le voir dans la requête.

mercredi 23 octobre 2019, 11:55  #4
Web - Client - XSS Stockée
Narkrasg
  • 6 posts

En fait je ne connais pas très bien les langages de back, c’est sans doute pour ça que je n’y arrive pas.
Donc si je comprends bien, il faut intégrer du PHP pour récupérer le cookie et l’intégrer à l’URL du site de redirection ?
J’imagine que je pourrais apprendre à faire ça sur le cours de OpenClassrooms (https://openclassrooms.com/fr/courses/918836-concevez-votre-site-web-avec-php-et-mysql)
Merci

mercredi 23 octobre 2019, 14:38  #5
Web - Client - XSS Stockée
Th1b4ud
  • 622 posts

Non tu n’as pas compris. Documente toi : https://fr.wikipedia.org/wiki/Cross-site_scripting

mercredi 23 octobre 2019, 15:25  #6
Web - Client - XSS Stockée
Narkrasg
  • 6 posts

Ca j’ai compris et j’ai fais une redirection de l’utilisateur sur un autre site.
Mais je n’arrive pas à effectuer l’étape d’après : d’après ce que j’ai compris, i faudrait que j’ajoute à l’URL de redirection le cookie de l’admin pour le récupérer sur le serveur (beeceptor).
J’ai essayé différentes méthodes de manipulation de cookie mais je ne sais pas si je m’y prends bien...

mercredi 23 octobre 2019, 15:49  #7
Web - Client - XSS Stockée
Narkrasg
  • 6 posts

C’est bon je crois bien que j’ai VRAIMENT compris...
Merci !