[Présentation] cURL
Salut les H@<k3r,
Aujourd’hui je vais vous parler de la librairie cURL en php que j’aime énormément et dont j’ai souvent l’utilité.
Présentation: cURL (Client URL Request Library) est une librairie qui sert en gros à interagir et notamment récupérer du contenu via un réseau informatique. Elle est utilisable dans de nombreux langages (C++, Java, .NET, Perl, Ruby etc...) Ici c’est en php que nous allons l’étudier.
A quoi ça sert ? Concrètement, ce qui est intéressant avec curl et le hacking c’est les possibilité que cette librairie (du moins en php) offre pour :
- récupérer des codes sources
- envoyer des données en GET ou POST vers des serveurs externes
- naviguer de lien en lien
Mais encore ? Et bien déjà, rien qu’avec les deux premières fonctionnalités je vais vous montrez deux hack facilement réalisables :
Envoyer un formulaire: En effet, vous pouvez faire en sorte qu’un script curl envoie des données via un formulaire, ce script pourrait s’apparenter à un robot qui navigue sur le web et remplie des formulaires.
Je vous présente donc http://www.dxracer.fr un site qui a eu la mauvaise idée d’afficher le résultat des recherches les plus fréquentes qu'effectuent ses utilisateurs: http://www.dxracer.fr/chercher.html
Vous l’aurez compris, si nous pouvons envoyer un formulaire via un script, il suffit de le placer dans une boucle et exploser tous les compteurs.
De même qu'il est facile d'écrire un script qui va se connecter à choualbox puis victimiser un newfag en mp (bien que Saian ait une petite parade dans ses formulaires mais qui se contourne assez facilement)
"Voler" des données sur des sites externes: cURL peut facilement récupérer le code source de pages externes (même avec le protocole https://). Et ainsi récupérer les autres liens pour les explorer jusqu’à ce que vous trouviez ce qui vous intéresse etc…
Ainsi c’est comme ça que j’ai pu récupérer plus de 2000 avatars de choual (cf http://choualbox.com/SRGCw), un peu comme dans le film « social network » ou Marc Zuckerberg récupère les trombinoscopes des facs de son campus.
En résumer, avec curl, vous avez le moyens de truquer un vote via un formulaire sur internet, de créer des robots qui vont se connecter et récupérer différentes données sur des sites externes. Faire du brute force (bien que les performances soient très faibles). Et ceci de façon relativement simple avec un peu de connaissances.
Dites-moi en com si vous voulez un tuto afin de réaliser le premier « hack »
(bien que Saian ait une petite parade dans ses formulaires mais qui se contourne assez facilement)
Toi tu vas avoir de gros problème !
sinon sympa les explications et le sujet ! et le tuto m'intéresse !
J'avais déjà essayé mais ils se sont bien protégés contre ça. Je retenterai un de ces quatres
Twitch Alert ausssi ? pour les donations. Jacque Chirac a une grosse envie de faire des donations de 1 million d'euros .
Je passe sur cette box (flemme d'en faire une nouvelle)
Le nouveau Kali 2.0 est sorti : https://www.kali.org/downloads/
Je le DL en ce moment même. J'en ferais sûrement une ce soir tard ou demain dans la soirée.
