dotclear2 password cracker

Je viens de découvrir l'interface XML-RPC de Dotclear2, cette interface Webservices permet de communiquer à distance avec Dotclear2. Très pratique pour blogger depuis un téléphone mobile par exemple (Moblog).

Cette interface Webservice dispose de nombreux services sont joignables depuis cette URL : http://monblog.com/xmlrpc

En analysant les services publiés , j'ai découvert un service appellé : "blogger.getUserInfo". Ce service permet d'obtenir les informations d'un compte à condition que vous possédiez le login et le mot de passe de celui-ci.

Voici donc la manière utiliser la librairie Apache XML-RPC pour appeler ce service web distant.

// Initialisation des paramètres
String login = "toto";
String password = "tata";
URL url = new URL("https://www.geeek.org/xmlrpc/"); 

// Initialisation du client Xml-RPC
XmlRpcClientConfigImpl config = new XmlRpcClientConfigImpl();
config.setServerURL(url);

XmlRpcClient client = new XmlRpcClient();
client.setConfig(config);

// Initialisation des paramètres d'appel au service
Object[] params = new Object[]{"null", login, password};

// Appel au service
HashMap result = (HashMap) client.execute("blogger.getUserInfo", params);
String firstname = (String)result.get("firstname");

// Vérification du résultat
if ( firstname != null) {
	System.out.println("Yess !");
} else {
      System.out.println("Arrff");
}

A partir de ce bout de code, je me suis donc amusé à réaliser un bruteforce password cracker en Java.

Il est aussi possible d'appeller les autres services publiés en suivant ce bout de code et ainsi pouvoir consulter son blog et l'administrer, le tout à distance en XML-RPC. Je reviendrai plus tard sur cet aspect méconnu du grand public.

  • Check-list Docker : 10 questions à se poser avant de démarrer un projet

    De plus en plus de projets utilisent la conteneurisation comme outil d’accélération du déploiement de systèmes informatiques. Malheureusement ces nouvelles technologies autour de la conteneurisationsont pas sans impacts sur l'architecture de la solution mise en place et quand aux choix à réaliser avant de démarrer un projet. Voici un ensemble de questions que je juge pertinents de se poser avant de démarrer un projet avec des containers Docker. Les containers apportent de nouveaux paradigmes auxquels nous n'avons pas encore suffisamment de reculs pour adopter des réflexes naturels.

1. Le , 12:03 par Ideal standard
fb39ed3955447d416f5e44b9ebea2ae7

Bonjour est-il possible de cracker le mot de passe d'un blog et si oui comment ?

2. Le , 14:38 par Philippe
383558d279da0574963dd745e7a4b3f7

normalement, on communique ce genre de découverte à l'auteur du logiciel avant de le publier sur son blog, non ?

3. Le , 22:23 par Ludovic
353ebff8fd08b2aed3acd7ca995c10cc

Cela n'utile aucun trou de sécurité ...

4. Le , 05:30 par malakif
28be8e046ad931635cac8d71057a15fc

pourquoi temps de mal?il y'a certaine personne qui galère plusieur mois pour crée leur blog et vous vous montrer au autres comment le detruire,c'est pas bien!

5. Le , 10:20 par c2c
37bec6f9b722b2fa3769baf69ca52fe9

Aucune utilité, ca ne dévoile aucune faille ni aucun trou de sécu.
Ton buteforce vas faire des tonnes de requêtes avant de trouver un mot de passe...
En plus ca n'a rien a voir avec dotclear2...

0/20 !

6. Le , 22:47 par Ludovic
353ebff8fd08b2aed3acd7ca995c10cc

L'idée est surtout de montrer l'utilisation des Webservices DC2 avec Java.

En deux lignes de code il est très simple de vérifier un user, ajouter un article ...

Avec du j2me il peut être très simple de développer une application capable de poster des tikets sur un blog DC2 à partir de son téléphone.

Le bout de code est juste un exemple.

7. Le , 10:49 par tof
4fad994073e7f27e56e157915030c164

c'est bien neuneu :) t'ira loin

8. Le , 12:24 par Ludovic
9ab09dd3e305f924f8930e20e1a35843

Iras ça prend un "s"

9. Le , 15:50 par pamai
2fe87ed2680989a4792618a6253e24b3

brutforce
http://www.geeek.org/post/2006/08/3...

10. Le , 02:42 par Glucose
b07dea9e32f32ba1fc0cd534a6641327

Encore faut-il que l'interface XML-RPC soit activé sur le blog cible, ce qui n'est pas le cas par défaut pour Dotclear 2.

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.