Web - Client

Bonjour à tous,
J’ouvre un nouveau sujet pour ce challenge.
Existe-t-il un moyen de résoudre ce challenge par xss en utilisant le chatbot ?
Je suis parvenu à effectuer le xss, mais je ne parviens pas à récupérer de données intéressantes (nom d’utilisateur, mot de passe, historique du bot, etc).
Je vous remercie pour ce challenge très instructif.
Bien cordialement.

Mise à jour de ma progression.

Bonjour à tous,
Je n’ai pas avancé sur la page du bot.
En revanche je suis parvenu à effectuer une injection javascript dans la page report.
Mais de la même manière, je n’ai pas accès aux droits de l’administrateur.
Je me demande donc comment savoir quelle page est exécutée par l’admin.
Je pensais que les retours du serveur seraient accompagnés par les droits de l’admin, mais dans aucun cas n’ai-je pu vérifier cela.
J’ai donc besoin d’un indice pour mieux comprendre l’application.
Bien cordialement.

it’s not xss. just hijacking.

Hello,
Thank you for your reply r00tSIS.
I still have a doubt about what to do.
If there’s no XSS to do, then what is the use of the report page ?

Right now I’m trying to find the correct url to paste in report with the correct parameter to use my JS injection payload (that I used in room page and able to perform xss using fetch) :
url ?parameter=JS injection payload
I think I have the correct url for this Websocket challenge, but I can’t find a correct parameter. And since no parameter is allowed in the ws connection, I suppose it’s not the correct way to do it.

I’m a bit lost about what I should do...
Thanks in advance for any guidance !