Web - Client

Salut !

J’aimerais savoir comment est simulée la visite de l’administrateur dans ce challenge ?

J’ai un script qui me semblait correct, mais qui ne réagit pas comme je le voudrais pour l’admin, alors qu’il fonctionne de mon côté.

Éventuellement, est-ce que je peux voir avec quelqu’un par MP pour ne pas spoiler ici ?

Merci !

J’ai le même soucis.
J’obtiens mes cookies de plusieurs façons, mais pas de trace d’un admin...

le mien ne marchait pas, parce que j’utilisais un port non standard (cad different de 80)

Merci,
En utilisant le port HTTP standard ça marche nickel 😄

Salut à tous,
Excusez-moi, mais j’ai tenté de divers façons pour récupérer le cookie admin, mais je n’arrive pas à le trouver...
j’ai un cookie spip et un smenu... le truc c’est qu’il y en a un qui a pour hôte www.root-me.org et l’autre .root-me.org.
Sans compter ceux de google...
Qui pourrait m’aider un peu, s’il vous plait ? Me dire si je suis proche ou carrément à côté de la plaque lol
j’ai trouvé un article sur repo.zenk-security.com qui parle de xss mais je ne prends que le cookie smenu...
Merci à vous :)

Bonjour,
J’ai réussi à récupérer les cookies d’Administrateur "ADMIN_COOKIE=.. " Mais le problème quand je veux l’appliquer sur http live en changent les données de mime ;) ça marche pas :O Statut : Visteur..
Merci de me répondre dès le possible.

Cordialement,

Ta0uf19 : tu t’y prends mal, si tu as récupéré la valeur du cookie de l’admin il ne te reste plus qu’a l’utiliser. Les outils......

Pour les autres qui avait des soucis de ports : il est désormais possible de "sortir" sur n’importe quel port 😉

Oui, j’ai essayé. Mais ça marche pas. :/
Note : J’ai ajouté cette dernière dans mime (Cookie) avec les autres.
J’ai même essayé d’envoyer un stream et reprendre le contenue avec PHP.. Ça marche pas.
@Edit : Challenge réussi. La valeur du cookie = code de validation
Cordialement

Bonjour à tous,

J’aimerai savoir si le "bot" admin tourne toujours ?
J’ai essayé de 3 manières différentes, ça marche très bien avec mon navigateur mais impossible de voir l’admin passer ^^

Ca marche très bien chez moi :).

Bonne root.

Merci :)
C’est bon j’ai réussi à valider, j’avais pas vu le message comme quoi l’administrateur avais lu les messages ^^.

Hello,

L’admin n’est pas passé depuis quasiment 24h. Mon injection fait peut être planter le bot, en tous cas je n’ai plus accès au forum :)
Un admin (un vrai) peut-il y jeter un oeil ?

Bonjour bonjour,

Je n’ai aucune activé d’un autre client pour ce challenge, quelqu’un sait si cela fonctionne toujours ?

Merci.

Salut Agnotos,

Je viens de tester a l’instant et ca marche tres bien de mon cote.
Verifie donc ton script/injection.

Bon courage !

Salut à tous,

Je crois que mon injection est bonne, puisque avec mon navigateur et mon compte "ça fonctionne" (je ne veux pas en dire trop pour ne pas spoiler).
Par contre, je n’ai pas de visite d’admin, et ça fait bien douze heures que mon injection est en place.

Comment est simulée la visite de l’admin ? Est-ce immédiat après chaque envoi de message, ou faut-il attendre un peu ?

Salut manu74,

J’ai vérifié et il y a un problème avec la visite de l’admin.
Donc pour l’instant la résolution de ce challenge n’est pas possible...

je pense que tu te trompes notdef, je viens de faire un test et l’admin passe bien. Dans tout les cas, dès que vous voyez :

"Vos messages ont bien été lus"

l’admin est passé.

Salut à tous,

Est-ce que le "bot" simulant la visite de l’admin se comporte comme un vrai browser, je veux dire est-il compatible avec tous les patterns d’injection de javascript ?

Oui : une page HTML à peu prêt propre sur elle avec du /*message modéré / notdef */ sera reconnue.
Et ne soit pas trop impatient, je crois que le cron de passage est réglé à 5 minutes (si je me rappel bien).
Détail important : ça ne se reconnecte QUE sur le port HTTP par défaut (80), pas de ports exotiques.

Ne fait pas d’indigestion de gâteaux :D.

J’appuie le message de Phil en disant que tout a été fait de façon à ce que ce soit le plus réaliste que possible 😉...

Merci notdef.

Je n’ai jamais vu de message du type "vos messages ont bien été lus". Je vois que maintenant ça a été ré-initialisé, je vais ré-essayer.

3 minutes plus tard : c’est bon, c’est validé.

Bonjour à tous,

Je n’ai aucune notification comme quoi l’administrateur est passé. Est-ce normal ?

Salut,
Pareil pour moi, cela fait plus de 12 heures que j’attends le message de l’admin, mais rien du tout. Même sans rien injecter sur la page (juste des messages texte), aucun signe de vie depuis plus de 30min...

Bonjour,
Même problème que pas mal de gens plus haut.
Mon script marche chez moi, mais je ne vois aucune trace du passage d’un admin.
Le bot admin fonctionne il toujours ?

Bonjour,

Toujours les mêmes messages, les miens sont affichés, mais aucun passage de l’admin ...
Y a t’il d’autre contrainte ?

C’est possible que tu aies eu visite de l’anti xss de base de la page qui a donc bloqué la requête Falhuor :)

Il faut utiliser un server php ?

Un serveur peut être utile pour recevoir la visite de l’admin. Mais aucune obligation de le faire fonctionner avec php.