Web - Client

samedi 11 janvier 2020, 14:14  #1
Web - Client XSS volatile
RandomGuy
RandomGuy
  • 12 posts

Bonjour,

Cela fait 3 jours que je bloque sur ce challenge  😢 . Je pense être arrivé là où se trouve la faille XSS, mais je n’arrive pas à en lancer une seule... Je me suis dit que google chrome bloquait peut-être certaines failles. Mais même en désactivant les protections rien ne se passe. Et je ne trouve pas d’autre endroit pour réaliser une reflected XSS sur le site. Du coup j’ai besoin d’un coup de main pour savoir si je suis vraiment sur la bonne voie !

Actuellement j’arrive vers une page pas trouvable sans erreur (j’évite d’être trop précis et de spoil), mais j’ai l’impression que le href ne peut pas lancer de faille XSS... . Du coup avec les indices que je viens de donner, pensez vous que j’ai trouvé la bonne page ? Et si oui est-ce normal qu’aucun code ne se lance ? Pourtant j’essaye des même des HTML Event.

Merci de votre aide  😇

samedi 11 janvier 2020, 22:55  #2
Web - Client XSS volatile
Th1b4ud
Th1b4ud
  • 1636 posts

C’est le bon point d’entrée continue

dimanche 12 janvier 2020, 13:04  #3
Web - Client XSS volatile
RandomGuy
RandomGuy
  • 12 posts

Très bien merci je vais continuer à chercher pourquoi ça ne marche pas :)

mardi 14 janvier 2020, 16:50  #4
Web - Client XSS volatile
RandomGuy
RandomGuy
  • 12 posts

Bonjour,

Après quelques jours de petites recherches, j’arrive finalement à avoir une faille XSS basique qui fonctionne :). Il me faut juste pouvoir demander les cookies car pour le moment c’est interprété comme un string ou alors non prit en compte dans l’url xD. Et il faudra aussi surement déguiser l’url je présume xD

lundi 27 janvier 2020, 18:34  #5
Web - Client XSS volatile
ElTouco72
ElTouco72
  • 283 posts

Hello,

J’ai trouvé une XSS, le robot va bien sur la page que je transmets je recupére tout, son user agent son Ip, mais pas le cookie que je recupère avec document.cookie
comment est ce possible ? quand moi j’essaye je recupere bien les cookies que j’ai mis sur le domaine du challenge

un peu d’aide siouplait, je seche la

mardi 17 novembre 2020, 15:39  #6
Web - Client XSS volatile
Ouly
Ouly
  • 1 posts

Hello,

Je bloque sur ce challenge, et je suis arrivé au meme stade que RandomGuy et je stagne depuis. En effet, j’arrive a lancer des commandes basiques alert avec un event. J’ai egalement réussi a injecter un autre url a la place de l’url de base, mais j’arrive pas a recuperer les cookies parce que les parametres sont considérés comme des string ou ne sont pas pris en compte.
Donc j’aimerais avoir une aide s’il vous plait

Nouvelle réponse Nouvelle réponse   Nouveau sujet Nouveau sujet