Web - Client

Bonjour à tous, bonne année ! (Je vais essayer de ne pas spoiler mais n’hésitez pas à me censurer si besoin)

Hier soir pendant le réveillon j’ai enfin pu valider le challenge "CSRF - contournement de jeton", sauf que ca fait des jours que je galère car mes exploits donnent des résultats assez bizarres, et même aujourd’hui en appliquant les corrections, celles-ci ont fonctionnent une fois sur 3 et il y a des choses que je comprends pas.

Premièrement, il faut savoir que pour vérifier l’execution des payloads du bot qui consulte ses messages, j’ai pris la liberté de récupérer son referrer (genre dans le message je met une balise img avec pour source un requestbin et sur la page du requestbin je regarde le referer du robot), cela permet :
– d’aller sur la page où l’on pourra voir ce qui théoriquement devrait s’exuter sur le navigateur de notre administrateur fictif.
– si la page renvoit une error 404 c’est que le robot a lu le message et qu’il ne sert à rien d’attendre plus longtemps.

Or, je constate que :

1) quand je rentre la solution numéro 1 de la correction ...

[Th1b4ud : même si ton explication ne spoile pas le challenge, il permet de résoudre d’autres challenges. Je suis obligé de supprimer.]

Est-ce que quelqu’un sait pourquoi ??

Merci beaucoup !

Ce comportement est surement du au robot exécutant les charges derrières.

Entendu :)

Je vais investiguer tout ca sur des forums devs. Merci beaucoup Th1b4ud