0x0 Web - Client

lundi 16 avril 2012, 10:10  #1
xss stored 1
eikyuu
  • 1 posts

Salut !

J’aimerais savoir comment est simulée la visite de l’administrateur dans ce challenge ?

J’ai un script qui me semblait correct, mais qui ne réagit pas comme je le voudrais pour l’admin, alors qu’il fonctionne de mon côté.

Éventuellement, est-ce que je peux voir avec quelqu’un par MP pour ne pas spoiler ici ?

Merci !

mercredi 13 juin 2012, 20:07  #2
xss stored 1
setanta
  • 2 posts

J’ai le même soucis.
J’obtiens mes cookies de plusieurs façons, mais pas de trace d’un admin...

vendredi 15 juin 2012, 17:31  #3
xss stored 1
koma
  • 17 posts

le mien ne marchait pas, parce que j’utilisais un port non standard (cad different de 80)

mardi 19 juin 2012, 14:27  #4
xss stored 1
setanta
  • 2 posts

Merci,
En utilisant le port HTTP standard ça marche nickel :-))

vendredi 7 septembre 2012, 23:03  #5
xss stored 1
jeanphi
  • 4 posts

Salut à tous,
Excusez-moi, mais j’ai tenté de divers façons pour récupérer le cookie admin, mais je n’arrive pas à le trouver...
j’ai un cookie spip et un smenu... le truc c’est qu’il y en a un qui a pour hôte www.root-me.org et l’autre .root-me.org.
Sans compter ceux de google...
Qui pourrait m’aider un peu, s’il vous plait ? Me dire si je suis proche ou carrément à côté de la plaque lol
j’ai trouvé un article sur repo.zenk-security.com qui parle de xss mais je ne prends que le cookie smenu...
Merci à vous :)

lundi 10 juin 2013, 22:06  #6
xss stored 1
Ta0uf19
  • 10 posts

Bonjour,
J’ai réussi à récupérer les cookies d’Administrateur "ADMIN_COOKIE=.. " Mais le problème quand je veux l’appliquer sur http live en changent les données de mime ;) ça marche pas :O Statut : Visteur..
Merci de me répondre dès le possible.

Cordialement,

lundi 10 juin 2013, 22:11  #7
xss stored 1
g0uZ
  • 168 posts

Ta0uf19 : tu t’y prends mal, si tu as récupéré la valeur du cookie de l’admin il ne te reste plus qu’a l’utiliser. Les outils......

Pour les autres qui avait des soucis de ports : il est désormais possible de "sortir" sur n’importe quel port ;-)

lundi 10 juin 2013, 22:20  #8
xss stored 1
Ta0uf19
  • 10 posts

Oui, j’ai essayé. Mais ça marche pas. :/
Note : J’ai ajouté cette dernière dans mime (Cookie) avec les autres.
J’ai même essayé d’envoyer un stream et reprendre le contenue avec PHP.. Ça marche pas.
@Edit : Challenge réussi. La valeur du cookie = code de validation
Cordialement

mercredi 21 août 2013, 23:40  #9
xss stored 1
artis
  • 4 posts

Bonjour à tous,

J’aimerai savoir si le "bot" admin tourne toujours ?
J’ai essayé de 3 manières différentes, ça marche très bien avec mon navigateur mais impossible de voir l’admin passer ^^

vendredi 23 août 2013, 22:02  #10
xss stored 1
m_101
  • 43 posts

Ca marche très bien chez moi :).

Bonne root.

samedi 24 août 2013, 01:27  #11
xss stored 1
artis
  • 4 posts

Merci :)
C’est bon j’ai réussi à valider, j’avais pas vu le message comme quoi l’administrateur avais lu les messages ^^.

jeudi 12 septembre 2013, 12:09  #12
xss stored 1
Dinde
  • 3 posts

Hello,

L’admin n’est pas passé depuis quasiment 24h. Mon injection fait peut être planter le bot, en tous cas je n’ai plus accès au forum :)
Un admin (un vrai) peut-il y jeter un oeil ?

lundi 28 octobre 2013, 13:36  #13
xss stored 1
Agnotos
  • 1 posts

Bonjour bonjour,

Je n’ai aucune activé d’un autre client pour ce challenge, quelqu’un sait si cela fonctionne toujours ?

Merci.

lundi 28 octobre 2013, 13:46  #14
xss stored 1
Mawu3n4
  • 48 posts

Salut Agnotos,

Je viens de tester a l’instant et ca marche tres bien de mon cote.
Verifie donc ton script/injection.

Bon courage !

lundi 6 janvier 2014, 13:09  #15
xss stored 1
manu74
  • 2 posts

Salut à tous,

Je crois que mon injection est bonne, puisque avec mon navigateur et mon compte "ça fonctionne" (je ne veux pas en dire trop pour ne pas spoiler).
Par contre, je n’ai pas de visite d’admin, et ça fait bien douze heures que mon injection est en place.

Comment est simulée la visite de l’admin ? Est-ce immédiat après chaque envoi de message, ou faut-il attendre un peu ?

mardi 7 janvier 2014, 00:32  #16
xss stored 1
notdef
  • 36 posts

Salut manu74,

J’ai vérifié et il y a un problème avec la visite de l’admin.
Donc pour l’instant la résolution de ce challenge n’est pas possible...

mercredi 8 janvier 2014, 19:12  #17
xss stored 1
g0uZ
  • 168 posts

je pense que tu te trompes notdef, je viens de faire un test et l’admin passe bien. Dans tout les cas, dès que vous voyez :

"Vos messages ont bien été lus"

l’admin est passé.

samedi 11 janvier 2014, 23:34  #18
xss stored 1
n0skill
  • 3 posts

Salut à tous,

Est-ce que le "bot" simulant la visite de l’admin se comporte comme un vrai browser, je veux dire est-il compatible avec tous les patterns d’injection de javascript ?

dimanche 12 janvier 2014, 10:11  #19
xss stored 1
Phil
  • 36 posts

Oui : une page HTML à peu prêt propre sur elle avec du /*message modéré / notdef */ sera reconnue.
Et ne soit pas trop impatient, je crois que le cron de passage est réglé à 5 minutes (si je me rappel bien).
Détail important : ça ne se reconnecte QUE sur le port HTTP par défaut (80), pas de ports exotiques.

Ne fait pas d’indigestion de gâteaux :D.

dimanche 12 janvier 2014, 13:51  #20
xss stored 1
notdef
  • 36 posts

J’appuie le message de Phil en disant que tout a été fait de façon à ce que ce soit le plus réaliste que possible ;-)...

dimanche 12 janvier 2014, 16:50  #21
xss stored 1
manu74
  • 2 posts

Merci notdef.

Je n’ai jamais vu de message du type "vos messages ont bien été lus". Je vois que maintenant ça a été ré-initialisé, je vais ré-essayer.

3 minutes plus tard : c’est bon, c’est validé.

vendredi 4 avril 2014, 09:58  #22
xss stored 1
gwelavo
  • 1 posts

Bonjour à tous,

Je n’ai aucune notification comme quoi l’administrateur est passé. Est-ce normal ?

dimanche 6 avril 2014, 11:37  #23
xss stored 1
deder6
  • 1 posts

Salut,
Pareil pour moi, cela fait plus de 12 heures que j’attends le message de l’admin, mais rien du tout. Même sans rien injecter sur la page (juste des messages texte), aucun signe de vie depuis plus de 30min...

lundi 5 octobre 2015, 10:26  #24
xss stored 1
Anonyme

Bonjour,
Même problème que pas mal de gens plus haut.
Mon script marche chez moi, mais je ne vois aucune trace du passage d’un admin.
Le bot admin fonctionne il toujours ?

vendredi 5 avril 2019, 13:01  #25
xss stored 1
Falhuor
  • 1 posts

Bonjour,

Toujours les mêmes messages, les miens sont affichés, mais aucun passage de l’admin ...
Y a t’il d’autre contrainte ?

jeudi 12 septembre 2019, 08:38  #26
xss stored 1
DeltΔ
  • 1 posts

C’est possible que tu aies eu visite de l’anti xss de base de la page qui a donc bloqué la requête Falhuor :)

mercredi 18 septembre 2019, 18:10  #27
xss stored 1
ShigitoNyaaaab
  • 1 posts

Il faut utiliser un server php ?

mercredi 18 septembre 2019, 21:35  #28
xss stored 1
Th1b4ud
  • 511 posts

Un serveur peut être utile pour recevoir la visite de l’admin. Mais aucune obligation de le faire fonctionner avec php.