Dotclear2 XML-RPC Brutforce Password Cracker
Je viens de découvrir l'interface XML-RPC de Dotclear2, cette interface Webservices permet de communiquer à distance avec Dotclear2. Très pratique pour blogger depuis un téléphone mobile par exemple (Moblog).
Cette interface Webservice dispose de nombreux services sont joignables depuis cette URL : http://monblog.com/xmlrpc
En analysant les services publiés , j'ai découvert un service appellé : "blogger.getUserInfo". Ce service permet d'obtenir les informations d'un compte à condition que vous possédiez le login et le mot de passe de celui-ci.
Voici donc la manière utiliser la librairie Apache XML-RPC pour appeler ce service web distant.
// Initialisation des paramC(tres
String login = "toto";
String password = "tata";
URL url = new URL("https://www.geeek.org/xmlrpc/");
// Initialisation du client Xml-RPC
XmlRpcClientConfigImpl config = new XmlRpcClientConfigImpl();
config.setServerURL(url);
XmlRpcClient client = new XmlRpcClient();
client.setConfig(config);
// Initialisation des paramC(tres d'appel au service
Object[] params = new Object[]{"null", login, password};
// Appel au service
HashMap result = (HashMap) client.execute("blogger.getUserInfo", params);
String firstname = (String)result.get("firstname");
// VC)rification du rC)sultat
if ( firstname != null) {
System.out.println("Yess !");
} else {
System.out.println("Arrff");
}
A partir de ce bout de code, je me suis donc amusé à réaliser un bruteforce password cracker en Java.
Il est aussi possible d'appeller les autres services publiés en suivant ce bout de code et ainsi pouvoir consulter son blog et l'administrer, le tout à distance en XML-RPC. Je reviendrai plus tard sur cet aspect méconnu du grand public.
