Web - Client

Bonjour, je suis bloqué sur le challenge XSS - Stockée 1.
Je ne comprend pas comment faire, j’ai regardé les documentations mais je n’ai toujours pas compris, pouvez-vous m’aider ?

Hello j’ai le même soucis

Article interne à lire : https://www.root-me.org/fr/Documentation/Web/Stored-XSS?lang=fr

Bonjour,

Pour éviter d’ouvrir un autre sujet je vais poser la question ici. J’ai bien réussi, enfin je crois à injecter mon code dans le formulaire et je reçois le cookie sur beeceptor. Cependant je reçois un cookie _ga et je ne sais pas quoi en faire car il n’est pas bon quand j’essaye de valider le challenge avec.

Help pls :(

C’est un cookie google analytics. Ca ne te servira à rien

Ducoup je ne comprend plus, j’ai pourtant bien l’impression que mon code javascript est correct. J’ai bien mis document.cookie pour récupérer le cookie, la syntaxe semble correcte également... Une idée de ce que j’ai pu mal faire ?

L’admin (le robot) n’a pas de cookie google analytic. Il est fort probable que ton payload ne soit meme pas interprété. Fait exécuter un simple fetch("https://tonurl.fr") pour t’assurer que ça fonctionne

Le payload semble bien marché, je reçois bien la requête GET lors je fais fetch("monsite.com"). Quand je change document.cookie par document.location je reçois la bonne valeur (de la location je veux dire). J’ai bien vérifié les guillemets, la syntaxe plusieurs fois je ne pense vraiment pas que le problème viens de là...

Hello,
J’ai exactement pareil que toi ...
Je pense qu’il nous manque pas grand chose, mais je n’ai pas encore réussi à trouver quoi 🙂

De mon côté j’utilise beeceptor pour la source d’une balise img mais j’ai l’impression que l’admin ne lit jamais la page, et pourtant qd je reload moi, je vois bien la requete passer...

Idem que mes deux VDD :)

J’ai le même soucis, est-ce un problème du chall ou est-ce qu’on s’y prend mal ?

Je n’ai pas encore réussi le challenge mais j’ai eu le même problème et je pense savoir pourquoi : quand Th1b4ud disait que " Il est fort probable que ton payload ne soit meme pas interprété " ça m’a mis sur la piste, peut être que le script n’est jamais interprété "par l’admin" mais seulement par le navigateur lors de l’affichage de la page, ce qui nous laisse penser que nous avons le bon script alors que l’admin ne l’interprète jamais.
Il faut trouver un script qui sera exécuté par l’admin :)

Salut,
Je viens de réussir le challenge avec mockbin. Dans un premier temps je ne voyais pas non plus les GET fait du côté admin mais j’ai l’impression qu’il faut être patient  😛 j’ai fini par les voir.