Web - Client
Web - Client XSS Stored 1
Bonjour, je suis bloqué sur la XSS stored, j’ai essayé de récupérer le cookie en injectant du code php mais ça n’a pas l’air d’être exécuté par le bot.
J’ai aussi essayé en injectant une image avec en source un lien vers un hookbin et j’ai le même comportement, j’ai bien mes GET qui sont récupérés sur hookbin mais jamais ceux du bot, j’ai bien mis http au lieu d’https dans mon champ src mais je ne comprend pas pourquoi le bot, n’essaie jamais de charger l’image.
Ma XSS :
<script>document.write('<img src="http://hookb.in/vpppzYPY">');</script>
Web - Client XSS Stored 1
Résolu, j’avais commencé par mettre le document.cookie mais j’avais l’impression que l’erreur venait de ça, problème de guillement en fait.
J’ai utilisé l’image pour éviter de chercher comment faire une redirection en JS, question de flemme :)
Web - Client XSS Stored 1
Bonjour, pour éviter la création d’un nouveau Topic je vais le faire ici...
J’eprouve les mêmes problèmes énoncés plus haut !!
J’ai codé un script php pour enregistrer le cookie sur mon serveur dans un fichier txt, par contre le seul cookie que je récupère est le miens et non celui de l’admin... quel qu’un pourrait m’aider à m’orienter !
J’ai passer les derniers jours a lire different ebooks et exploits des failles Xss et récupération de cookie et je commence sérieusement à decourager
Merci et bonne journée
Web - Client XSS Stored 1
Salut. C’est bien de développer ses propres scripts d’interception de requete, mais es tu sur qu’il fonctionne comme tu le souhaites ? Sinon je peux te conseiller beeceptor (et pas requestbin !!) Pour tester tes xss ;)
Bon courage
Web - Client XSS Stored 1
Alors moi tout marche c’est simple mais le cookie a disparu :’-( donc impossible de valider ce challenge comment remettre le cookie svp
EDIT 2 ans après : Ne prenez pas en compte se message, il est débile, Je venais de commencer les attaques Webs. Donc effectivement pour le script, il faut écrire sur un cookie déjà existant, pour ça nous pouvons utiliser curl, ou un outil de request GET et son formulaire js ;) .
Web - Client XSS Stored 1
Bonjour,
j’eprouve aussi le meme probleme ou j’ai l’impression que
document.cookie
ne renvoie rien. J’ai essayer toute les formes pour recuperer qqc de cette commande mais rien. Est ce que ce serait un bug ?
(PS j’avais deja fini le challenge mais en essyant de le refaire rien du tout)
Web - Client XSS Stored 1
Bonjour à tous,
Pour ma part impossible de récupérer la requete de l’admin alors que les miennes arrivent en pagaille.
J’ai essayé différents hébergeur s : hookb.in, requestbin.fullcontact.com, pipedream.com & beeceptor.com avec différents code JS...
Si qqun peut m’aider.
D’avance merci
Web - Client XSS Stored 1
Bonjour tout le monde,
J’essaie de trouver la solution à cette épreuve depuis un certain temps maintenant, j’arrive a récupérer mon cookie et à l’envoyer sur beeceptor via une requete xhr, mais impossible de récupérer celui de l’admin. Pouvez vous me donnez quelques indices ?
Web - Client XSS Stored 1
Bonsoir,
Est-ce que quelqu’un sait ce que cgo__ voulait dire en disant "Ne pas essayer de télécharger le cookie de l’admin sur son serveur privé (c’était mon erreur je crois)." ?
Si l’on n’envoie pas le cookie de l’admin via une requete xhr, comment est-il possible de le récupérer ?
Je commence à être bloqué... En injectant le script, lorsque je refresh la page, la requete xhr est envoyé a beeceptor avec mes cookies, mais lorsque l’admin passe, rien.
Est-il possible d’avoir des indices s’il vous plait ? Merci d’avance
Web - Client XSS Stored 1
Tu es sur la bonne piste. Continue de creuser. cgo__ ne sait pas de quoi il parle.