Web - Client
xss stored 1
Salut !
J’aimerais savoir comment est simulée la visite de l’administrateur dans ce challenge ?
J’ai un script qui me semblait correct, mais qui ne réagit pas comme je le voudrais pour l’admin, alors qu’il fonctionne de mon côté.
Éventuellement, est-ce que je peux voir avec quelqu’un par MP pour ne pas spoiler ici ?
Merci !
xss stored 1
Salut à tous,
Excusez-moi, mais j’ai tenté de divers façons pour récupérer le cookie admin, mais je n’arrive pas à le trouver...
j’ai un cookie spip et un smenu... le truc c’est qu’il y en a un qui a pour hôte www.root-me.org et l’autre .root-me.org.
Sans compter ceux de google...
Qui pourrait m’aider un peu, s’il vous plait ? Me dire si je suis proche ou carrément à côté de la plaque lol
j’ai trouvé un article sur repo.zenk-security.com qui parle de xss mais je ne prends que le cookie smenu...
Merci à vous :)
xss stored 1
Bonjour,
J’ai réussi à récupérer les cookies d’Administrateur "ADMIN_COOKIE=.. " Mais le problème quand je veux l’appliquer sur http live en changent les données de mime ;) ça marche pas :O Statut : Visteur..
Merci de me répondre dès le possible.
Cordialement,
xss stored 1
Ta0uf19 : tu t’y prends mal, si tu as récupéré la valeur du cookie de l’admin il ne te reste plus qu’a l’utiliser. Les outils......
Pour les autres qui avait des soucis de ports : il est désormais possible de "sortir" sur n’importe quel port 😉
xss stored 1
Oui, j’ai essayé. Mais ça marche pas. :/
Note : J’ai ajouté cette dernière dans mime (Cookie) avec les autres.
J’ai même essayé d’envoyer un stream et reprendre le contenue avec PHP.. Ça marche pas.
@Edit : Challenge réussi. La valeur du cookie = code de validation
Cordialement
xss stored 1
Salut à tous,
Je crois que mon injection est bonne, puisque avec mon navigateur et mon compte "ça fonctionne" (je ne veux pas en dire trop pour ne pas spoiler).
Par contre, je n’ai pas de visite d’admin, et ça fait bien douze heures que mon injection est en place.
Comment est simulée la visite de l’admin ? Est-ce immédiat après chaque envoi de message, ou faut-il attendre un peu ?
xss stored 1
Salut manu74,
J’ai vérifié et il y a un problème avec la visite de l’admin.
Donc pour l’instant la résolution de ce challenge n’est pas possible...
xss stored 1
Oui : une page HTML à peu prêt propre sur elle avec du /*message modéré / notdef */ sera reconnue.
Et ne soit pas trop impatient, je crois que le cron de passage est réglé à 5 minutes (si je me rappel bien).
Détail important : ça ne se reconnecte QUE sur le port HTTP par défaut (80), pas de ports exotiques.
Ne fait pas d’indigestion de gâteaux :D.
xss stored 1
J’appuie le message de Phil en disant que tout a été fait de façon à ce que ce soit le plus réaliste que possible 😉...
xss stored 1
Bonjour,
Même problème que pas mal de gens plus haut.
Mon script marche chez moi, mais je ne vois aucune trace du passage d’un admin.
Le bot admin fonctionne il toujours ?
xss stored 1
Il faut utiliser un server php ?
xss stored 1
Un serveur peut être utile pour recevoir la visite de l’admin. Mais aucune obligation de le faire fonctionner avec php.