[MarbasFR]

Pour ceux qui viennent de découvrir le site tout comme moi, n'utilisez pas Chrome... j'ai perdu 2 heures à cause de ça mdr :p

[EtAk0]

Bonjour tout le monde, je sais que cette épreuve est vieille mais je commence à peine sur ce site donc voilà ^^. Je suis un peu bloqué, d'après les autres messages sur ce topic d'aide certains ont réussi à exploiter une faille XSS or je n'arrive pas même en mettant du code dans les champs du formulaire (mail) et dans l'URL voilà est ce que quelqu'un aurai une piste ? Bonne journée 

[pixis]

Honnêtement, je pense que tu trouveras ta réponse dans les 25 pages de topic.

Tout ce que je peux te conseiller, c'est de te renseigner sur ce qu'est une faille XSS, quels sont les vecteurs classiques d'attaque pour ce genre de faille, et de bien faire attention à tout ce qui est proposé sur le site de l'épreuve.

Rien n'a été laissé au hasard.

[EtAk0]

OK merci je viens de réussir à faire une alert  c'est bien parti

[EtAk0]

Dsl de demander encore une fois mais est ce que l'épreuve est réaliste au point que l'administrateur puisse interagir avec le mail ?

[pixis]

https://www.newbiecontest.org/forums/index.php?topic=647.msg41030#msg41030

Tous les mails sont lus en une seconde et l'administrateur est tellement bête qu'il clique sur tous les liens qui dirigent vers son site.

Je t'ai pourtant dit de lire les 25 pages.

[EtAk0]

Ok c'est bon merci d'avoir pris le temps de me répondre j'ai réussi ^^

[CaptainOutcast]

Bonsoir !
J'ai réussi à exploiter la faille, à récupérer ce qu'il faillait. Mais bizarrement le champs p**s de ce que je récupère est vide: bug ou défaut de mon exploit ?
Merci de votre réponse !

EDIT: J'ai réessayé aujourd'hui: ça fonctionne ! C'était donc bien un bug !

[vinko201]

Bonjour,

L'administrateur clique-t-'il toujours sur les liens qui lui sont envoyés ?

J'ai l'impression que non... il est parti en vacances ou c'est moi ? 

newgames

[pixis]

Salut !
Il clique (c'est automatisé heureusement !)
Bon courage

[vinko201]

Tous les mails sont lus en une seconde et l'administrateur est tellement bête qu'il clique sur tous les liens qui dirigent vers son site.

Ça fonctionne toujours ? L'admin ne clique sur aucun des liens que je lui envoie par le formulaire, même quand je lui fais un beau message tout bien écrit...

J'utilise Firefox et le lien envoyé exploite correctement la XSS, ça fonctionne bien de mon côté.

[the lsd]

Hello,

Après vérification, le chall est toujours fonctionnel sur FF (version 54.patate)

Enjoy

The lsd

[torchwood]

Bonjour,

Quelqu'un pourrait t'il me contacter en privé pour que je lui expose mon code car j'ai un petit doute depuis 3 jours dessus 

Merci par avance

[pixis]

Salut !
Envoie-le moi sur discord ou irc

[torchwood]

Salut !
Envoie-le moi sur discord ou irc

Merci