dotclear2 password cracker

Je viens de découvrir l'interface XML-RPC de Dotclear2, cette interface Webservices permet de communiquer à distance avec Dotclear2. Très pratique pour blogger depuis un téléphone mobile par exemple (Moblog).

Cette interface Webservice dispose de nombreux services sont joignables depuis cette URL : http://monblog.com/xmlrpc

En analysant les services publiés , j'ai découvert un service appellé : "blogger.getUserInfo". Ce service permet d'obtenir les informations d'un compte à condition que vous possédiez le login et le mot de passe de celui-ci.

Voici donc la manière utiliser la librairie Apache XML-RPC pour appeler ce service web distant.

// Initialisation des paramètres
String login = "toto";
String password = "tata";
URL url = new URL("https://www.geeek.org/xmlrpc/"); 

// Initialisation du client Xml-RPC
XmlRpcClientConfigImpl config = new XmlRpcClientConfigImpl();
config.setServerURL(url);

XmlRpcClient client = new XmlRpcClient();
client.setConfig(config);

// Initialisation des paramètres d'appel au service
Object[] params = new Object[]{"null", login, password};

// Appel au service
HashMap result = (HashMap) client.execute("blogger.getUserInfo", params);
String firstname = (String)result.get("firstname");

// Vérification du résultat
if ( firstname != null) {
	System.out.println("Yess !");
} else {
      System.out.println("Arrff");
}

A partir de ce bout de code, je me suis donc amusé à réaliser un bruteforce password cracker en Java.

Il est aussi possible d'appeller les autres services publiés en suivant ce bout de code et ainsi pouvoir consulter son blog et l'administrer, le tout à distance en XML-RPC. Je reviendrai plus tard sur cet aspect méconnu du grand public.

1. Le , 12:03 par Ideal standard
fb39ed3955447d416f5e44b9ebea2ae7

Bonjour est-il possible de cracker le mot de passe d'un blog et si oui comment ?

2. Le , 14:38 par Philippe
383558d279da0574963dd745e7a4b3f7

normalement, on communique ce genre de découverte à l'auteur du logiciel avant de le publier sur son blog, non ?

3. Le , 22:23 par Ludovic
353ebff8fd08b2aed3acd7ca995c10cc

Cela n'utile aucun trou de sécurité ...

4. Le , 05:30 par malakif
28be8e046ad931635cac8d71057a15fc

pourquoi temps de mal?il y'a certaine personne qui galère plusieur mois pour crée leur blog et vous vous montrer au autres comment le detruire,c'est pas bien!

5. Le , 10:20 par c2c
37bec6f9b722b2fa3769baf69ca52fe9

Aucune utilité, ca ne dévoile aucune faille ni aucun trou de sécu.
Ton buteforce vas faire des tonnes de requêtes avant de trouver un mot de passe...
En plus ca n'a rien a voir avec dotclear2...

0/20 !

6. Le , 22:47 par Ludovic
353ebff8fd08b2aed3acd7ca995c10cc

L'idée est surtout de montrer l'utilisation des Webservices DC2 avec Java.

En deux lignes de code il est très simple de vérifier un user, ajouter un article ...

Avec du j2me il peut être très simple de développer une application capable de poster des tikets sur un blog DC2 à partir de son téléphone.

Le bout de code est juste un exemple.

7. Le , 10:49 par tof
4fad994073e7f27e56e157915030c164

c'est bien neuneu :) t'ira loin

8. Le , 12:24 par Ludovic
9ab09dd3e305f924f8930e20e1a35843

Iras ça prend un "s"

9. Le , 15:50 par pamai
2fe87ed2680989a4792618a6253e24b3

brutforce
http://www.geeek.org/post/2006/08/3...

10. Le , 02:42 par Glucose
b07dea9e32f32ba1fc0cd534a6641327

Encore faut-il que l'interface XML-RPC soit activé sur le blog cible, ce qui n'est pas le cas par défaut pour Dotclear 2.

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.