Web - Client

lundi 18 octobre 2021, 23:12  #1
Web - Client - XSS DOM Based
ChrisNicolas
ChrisNicolas
  • 2 posts

Bonjour,

Cela fait plusieurs jours que je suis bloqué sur le challenge.
J’arrive à créer une URL qui redirige sur un site afin de récupérer les cookies.

Néanmoins lorsque j’envoie l’url au bot, je n’ai aucun retour.

Est-il possible d’avoir un indice ?

Bonne journée

mercredi 20 octobre 2021, 19:07  #2
Web - Client - XSS DOM Based
Cyrhades
Cyrhades
  • 3 posts

Je suis dans la même situation, l’indice qui serait cool dans un premier temps c’est de confirmer si l’injection peut être envoyé directement via les 2 premiers champs du formulaire de contact ou si on doit écrire l’injection XSS dans le message.
Dans mon cas quand je fais l’injection je reçois bien mes cookies. mais aucun retour du bot ....

dimanche 24 octobre 2021, 21:54  #3
Web - Client - XSS DOM Based
Akitoshi
Akitoshi
  • 4 posts

Hello,

Pour le formulaire d’envoi, le "message" n’est pas important.

J’étais bloqué aussi, du coup j’ai recommencé du début en listant tous les éléments en m’a possession :
 qu’est qui m’est possible d’injecter ?
 qu’est qui passe le filtre ?
 limitations (taille par exemple même si ça ne devrait pas être un problème) ?

 Techniques pour contourner les filtres (strings, concaténation, etc..) (apparemment il semble que tu as déjà cette partie ^^ )

Une fois tout ça en main tu devrais y voir plus clair  🙂

Bonne journée,

lundi 15 novembre 2021, 18:49  #4
Web - Client - XSS DOM Based
ChrisNicolas
ChrisNicolas
  • 2 posts

Hello,

Merci beaucoup pour ces explications.

J’ai pu avancé un peu mais je suis toujours coincé.

Est-ce qu’il est possible de savoir si le bot exécute le payload ou bien il faut le forcer à l’exécuter genre un click ?

Bonne soirée

jeudi 18 novembre 2021, 17:39  #5
Web - Client - XSS DOM Based
Th1b4ud
Th1b4ud
  • 1636 posts

Il faut une charge qui s’exécute toute seule

Nouvelle réponse Nouvelle réponse   Nouveau sujet Nouveau sujet