Web - Client

EDIT : C’EST BON J’AI RÉUSSI LE CHALL. MERCI À TOUS CEUX QUI M’ONT VRAIMENT AIDÉ !

Bonjour,

J’ai résolu les problèmes rencontrés que j’avais exposé sur mon précédent post sur le forum, mais alors que mon playload marche parfaitement, le bot ne semble pas vouloir l’interpréter. Si quelqu’un serai d’accord pour m’aider, je pourrai envoyer mon playload en mp, pour que vous puissiez me dire ce que vous en pensez.

Sinon, le voilà :

/ !\À MODÉRER SI NÉCESSAIRE/ !\

<svg><animate [SPOIL] attributeName=x dur=0s></svg>

Je précise que ce code se target tout seul lors du chargement de la page et n’est pas bloqué par le bot du chall ! (je suis sous Google Chrome, et je l’ai testé également sur IE...)

Merci à tous de m’avoir lu et bonne journée !  😊

Salut,
juste pour dire que j’en suis exactement au même endroit le payload s’exécute au chargement et me permet de récup les cookies mais le bot ne le déclenche tjrs pas. J’éspère qu’on trouvera vite le solution, bonne chance

Je viens de réussir le chall, je te conseille de regarder le git à propos de PayloadsAllTheThings/XSS Injection/ ça devrait t’aider

Pfff... J’ai suivi ton git et j’ai conçu un super playload mais RIEN À FAIRE, ce foutu bot refuse de l’exécuter alors que tout mes navigateurs (Chrome Mozilla et IE) l’exécutent parfaitement !!! Je laisse regarder qui veut... 😢

[Th1b4ud : payload permettant de valider d’autres challenges]

Merci à tous pour votre aide !

Ton payload est pas mal. Malheureusement ce n’est pas celui que attend le bot (payload surement trop récent non supporté par le bot).

Merci pour ton indication Th1b4ud.

Bonjour, j’ai un soucis identique !
[SPOIL]

Jean,

Es-tu sur de bien parler du bon challenge, ton message me fais plutot penser a un autre challenge XSS que le filter bypass.

Tie21

Effectivement je n’ai pas fait attention, je parlais de xss stockée 2

Bonjour,

J’aimerais si c’est possible bien sûr être renseigné sur la façon dont le bot en CasperJS qui incarne l’admin interagit avec la page web, parce que là, je n’en peux plus. J’ai trouvé 5 playloads qui marchent (non-filtrés) sur TOUS mes navigateurs (Chrome, IE et Mozilla) mais toujours rien.

Comment donc le bot interagit-il avec la page web ?

Cordialement, Le_codeir_fute. 😇

une recherche sur le forum sur ce chall et on trouve suffisamment d’indications

Bonjour,

Non, justement pas. Le chall manque sérieusement de réalisme car normalement, il devrait exécuter du code JavaScript simple de base qui se target tout seul.

Hello

ElTouco72
Où est le forum du chall stp ? J’ai besoin d’autres indices... j’avais trouvé svg et mouseover mais ça seret à rien. Et focus fonctionne pas de mon côté comme input est bloqué. Merci

Petits conseils pour ceux qui vont passer du temps sur ce chall.

– le flag a soumettre est le cookie de l’administrateur. La page ne sera pas différente si vous vous connectez avec le cookie de l’admin
– tester les events avec Chromium ou Chrome. Il y a au moins un event pas trop barbu qui fonctionne sous Chrome mais pas avec Firefox
– le user-agent du robot contient "HeadlessChrome"

Bon courage !