Dotclear2 XML-RPC Brutforce Password Cracker

Ludovic Toinel — Wed, 30 Aug 2006 23:14:00 +0100

Je viens de découvrir l'interface XML-RPC de Dotclear2, cette interface Webservices permet de communiquer à distance avec Dotclear2. Très pratique pour blogger depuis un téléphone mobile par exemple (Moblog).

Cette interface Webservice dispose de nombreux services sont joignables depuis cette URL : http://monblog.com/xmlrpc

En analysant les services publiés , j'ai découvert un service appellé : "blogger.getUserInfo". Ce service permet d'obtenir les informations d'un compte à condition que vous possédiez le login et le mot de passe de celui-ci.

Voici donc la manière utiliser la librairie Apache XML-RPC pour appeler ce service web distant.

 java 

// Initialisation des paramètres
String login = "toto";
String password = "tata";
URL url = new URL("http://www.geeek.org/xmlrpc/"); 

// Initialisation du client Xml-RPC
XmlRpcClientConfigImpl config = new XmlRpcClientConfigImpl();
config.setServerURL(url);

XmlRpcClient client = new XmlRpcClient();
client.setConfig(config);

// Initialisation des paramètres d'appel au service
Object[] params = new Object[]{"null", login, password};

// Appel au service
HashMap result = (HashMap) client.execute("blogger.getUserInfo", params);
String firstname = (String)result.get("firstname");

// Vérification du résultat
if ( firstname != null) {
	System.out.println("Yess !");
} else {
      System.out.println("Arrff");
}

A partir de ce bout de code, je me suis donc amusé à réaliser un bruteforce password cracker en Java.

Il est aussi possible d'appeller les autres services publiés en suivant ce bout de code et ainsi pouvoir consulter son blog et l'administrer, le tout à distance en XML-RPC. Je reviendrai plus tard sur cet aspect méconnu du grand public.

Blog de Geeek, le blog geek par excellence par Ludovic Toinel ... - Balise - cracker

Dotclear2 XML-RPC Brutforce Password Cracker