Web - Client

Hello !

Bon j’ai beosin d’une piste. J’ai trouvé la faille XSS, pas trop difficilement, je l’ai exploité, je reçois bien le session cookie de l’admin à la validation mais :

– Celui ci ne sert à rien : si je set un session cookie chez moi avec la valeur récupérée via le XSS, rien ne change (toujours pas d’accès à une interface admin ou autre)
– Le status cookie de l’amdin quant à lui est vide
– Le session cookie de l’admin semble en plus changer tout le temps

Je sèche un peu, petit indice ?

merci

Personne ? :)

Perso, je comprends pas trop. J’ai le session cookie de l’admin, je le set via le XSS sur ma session, mais je n’ai pas accès à une section "admin" quelconque.

Bonjour Guillaume,

Je suis aussi sur ce challenge.
Tu dis avoir exploité une XSS et reçu le cookie de l’admin mais ne pas valider le chal ?

Tu es bien sur la stored 2 et pas la stored 1 ?

Si tu ne te trompes pas alors je pense que tu as ta réponse dans la conversation ouverte par Celtic :
https://www.root-me.org/?page=forum&id_thread=1496&lang=fr

Merci je vais check ;)

Cest bien xss 2.