PortSwigger-Offline-password-cracking

Brute forcing a stay-logged in cookieの問題の派生形のようです。
問題の要点は、「carlosのstay-logged-inをどうやって取得するのか」です。

問題より公表されていますが、各記事のコメント機能にXSSの脆弱性があります。
XSSの脆弱性を用いて、外部にstay-logged-inを送信すればよいです。
stay-logged-inに付与された属性を見ると、HttpOnlyもSecureもないので、煮るなり焼くなりすればよいです。

コード全体は出しませんが、以下のようなプログラムを作ります。
・XMLHttpRequest()オブジェクトを生成する。
・用意された攻撃者用サーバのurlに対して、クエリパラメータにCookieの値を入れて、送信する。

攻撃者用サーバにはアクセスログが残るため、アクセスログからクエリを見れば、Cookieが取得できます。
このコードを残しても、被害者のアカウントがアクセスをしないと攻撃が成功しませんが、被害者のブラウザからがアクセスしてくれるので、それで攻撃が成功しました。
あとは、stay-logged-inの解析をすればよいです。