Web - Client

Bonjour à tous,
existe-t-il un event qui puisse déclencher un script dans une balise <a> sans action de l’utilisateur (sans qu’il ait besoin de cliquer sur le lien, de bouger la souris, ...)
Un truc du genre <a onload="script">texte</a> (mais malheureusement onload ne marche pas pour la balise <a> 😥).
Merci beaucoup d’avance !

Salut,

En effet oui il en existe un : [Th1b4ud : spoil. T’es pourtant pas loin de réussir le chall contournement avec ça. Try harder !]. Essaie ça, ça affichera normalement une input box avec "1" dedans. Mais si toi aussi tu galère sur le chall XSS - contournement de filtres, sache que j’ai déjà essayé ça 1000 fois et que même si ça marche, le bot ne l’exécute pas...

En fait en ce moment je galère sur le xss contournement de filtre, mais aussi sur le xss volatile (qui est censé être plus facile que xss stockée 2 ou javascript obfuscation 4 😅) !!
J’ai pas eu le temps de voir ce que tu m’a donné 😥. Pour la balise a je pensais plutôt au xss volatile sachant que je ne peut pas rajouter d’autres balise (les chevrons sont filtrés) donc ma seule solution est d’injecter un ’ pour fermer le href et rajouter un event, mais je ne trouve pas d’event qui marche !
Pour ce qui est du contournement de filtre je me suis plutôt tourné vers les balises style et avec ça j’ai réussi à faire envoyer une requête par l’admin à mon requestbin (du coup je sais que c’est un firefox 43.0 sur mac os x 10.11), mais je n’ai pas encore trouvé de moyen d’envoyer le cookie vu que ce n’est pas du javascript qui envoie la requête.

Salut à toi,

Bonne idée le playload en html mais la XSS requiert obligatoirement l’utilisation du JavaScript. Pour la XSS volatile, pense à un event qui se base sur quelque chose que tout le monde utilise en naviguant sur internet. Quand à la XSS filtrée, c’est un peu + subtile. L’admin est beaucoup moins curieux que pour la XSS volatile. Pense au concept du focus sur un lien ou un input, ansi que les event qui vont avec.
Enfin sache que moi aussi, j’ai énormément galéré (presque 5 mois pour la XSS filtrée !).

Bon courage !

Je suis deg parce que la seule méthode que j’ai trouvée c’est de combiner autofocus et onfocus, mais ça ne marche pas sur la balise a donc je ne peut pas valider le challenge xss volatile avec !!

De la même manière je viens de trouver la combinaison open/ontoggle, mais encore une fois ça ne marche pas pour la balise a !! (c’est pour details) !

pense à un event qui se base sur quelque chose que tout le monde utilise en naviguant sur internet (la souris).

J’ai effectivement pensé au onclick, ou au onmouseover, mais le bot ne clique pas et ne bouge pas la souris (ces payloads marchent chez moi quand je clique ou que je bouge la souris au dessus donc ça veut dire que le pb vient du bot). C’est pour cela que je veux trouver qqch qui se fasse automatiquement au chargement de la page.

Salut à toi,

De la même manière je viens de trouver la combinaison open/ontoggle, mais encore une fois ça ne marche pas pour la balise a !! (c’est pour details) !

J’ai essayé ça moi aussi et j’ai été tout aussi déçu que toi quand ça n’a pas marché ! 😄  😇
C’est là dessus un point sur lequel le challenge est assez mal fait : le bot n’exécute qu’un seul playload spécifique, et n’exécute pas les autres même s’y ils fonctionnent...

Bon courage à toi ! 🙂

Bonjour,
je suis toujours bloqué sur le challenge xss volatile... j’imagine que le bot ne cliquera pas sur le lien donc je suis obligé de mettre un event qui se lance automatiquement au chargement de la page, mais le problème c’est que pour la balise <a> il n’y en a aucun et je n’ai pas moyen de fermer la balise <a> ouverte pour ouvrir une autre sorte de balise vu que les chevrons sont échappés !!

Derriere le robot agit comme un humain. Qu’est ce que tu fais quand on t’envoi un lien ? Qu’est ce que tu peux en déduire sur les events à utiliser ?

Quand j’ai un lien je clique dessus s’il n’est pas trop bizarre -> event : onfocus, onmouseover, onmousedown, onfocusin, onclick.
Mais aucun de ces événéments n’est déclenché par le bot (alors qu’ils sont déclenché de mon côté). J’en ai donc déduit que le bot ne clique pas sur le lien, surtout qu’il est dit que l’admin ne cliquera pas sur des liens étranges (et là le lien est étrange puisqu’il y a du javascript dedans).

Continue de creuser tu es sur la bonne voie

Bonne idée le playload en html mais la XSS requiert obligatoirement l’utilisation du JavaScript

Ce qu’il faut comprendre c’est que par définition tout payload XSS va utiliser du Javascipt ou un autre langage de script.

XSS= Cross Site Scripting

Pas du tout, j’ai des dizaines d’exemples de playloads pur HTML, sans utiliser le DOM 0, 1 ou 2.

partage les
(c’est payload pas playload)

Non pas besoin de partager vos payload. Votre débat stérile n’a rien à faire sur le forum root-me.
@jean semble avoir trouver ce qu’il souhaitait. Je ferme