Spirit Of Hack

#SoH on irc.geeknode.org

Vous n'êtes pas identifié.

Annonce

RIP Gutek | Inscriptions à nouveau ouvertes. M'envoyer un mail (http://www.spiritofhack.net/index.php?item=contact) en cas de problème avec le mail de confirmation.

#1 31/03/2012 17:47:29

floaque
Membre
Date d'inscription: 31/03/2012
Messages: 3

se connecter à un site (identifiants)

Bonjour.

J'ai un compte sur ce site : https://www.fast-debrid.com/

Je voudrais un script python qui me permette de me loguer.
Malheureusement ça me semble hors de ma portée. J'ai cherché un peu partout sur le net, et si des solutions valables sont proposées pour des sites où les connexions automatisés sont "faciles", tel que imdb.com, je n'ai rien trouvé de valable pour ce genre de site.
J'ai réussi à identifier le cookie qui pourrait me servir (puisqu'une identification par login me semble bien difficile), mais là encore je me heurte à des difficultés.
En effet, je me sers de chrome et de firefox, et si on peut bien consulter le contenu d'un cookie, on ne peut pas vraiment y accéder physiquement.

Suite à ce lien :
http://wikipython.flibuste.net/CodesReseau#G.2BAOk-rerlescookies

J'ai eu l'idée d'envoyer un cookie qui serait une copie conforme du cookie que j'ai identifié, mais j'ai cherché sans succès comment créer un cookie avec un éditeur de texte.

Je suis ouvert à toute solution, que cela soit avec identifiants ou cookie.

Cordialement.

Dernière modification par floaque (31/03/2012 17:48:50)

Hors ligne

 

#2 31/03/2012 19:59:44

berga
Administrator
Date d'inscription: 10/01/2008
Messages: 310
Site web

Re: se connecter à un site (identifiants)

L'accès à un site web se fait grace au protocole HTTP, qui a le bon gout d'etre en "mode texte", et sans état : Le protocole ne permet pas au serveur de savoir que deux requetes consecutives proviennent du meme utilisateur.

Pour palier cela, les serveurs mettent en place un mécanisme de session : lorsque tu te connecte, il t'envoie un identifiant unique (PHPSESSID par exemple si le serveur utilise PHP) sous forme d'un cookie :

Set-Cookie: PHPSESSID=blablablabla

Ton navigateur memorise cet identifiant et le renvoie a chaque requete vers le serveur dans les headers de la requete http :

Cookie: PHPSESSID=blablablabla

Ce mecanisme permet au serveur de te "reconnaitre" ( savoir que tu es loggue, retrouver ton profil, etc) grace a sa propre gestion des sessions.

Une fois que tu as compris ce principe, tu peux utiliser un proxy local (genre burp suite) et ton navigateur pour te connecter au site avec ton login et ton mot de passe. Regarde ensuite l'echange de requetes/reponse enregistré par ton proxy pour retrouver ce principe et voir quelles variables il utilise, et comment,  lorsque tu te loggues.

HTTP etant en mode texte, tu peux facilement rejouer tout cette sequence en python : acces a la page de login, enregistrement du cookie de session, et envoi du login / mot de passe (avec le cookie de session) pour t'authentifier.


Toute science est essentiellement un moyen vers un but.
Le moyen est la connaissance, le but est le contrôle.
Au delà de ceci demeure une seule question: Qui sera le bénéficiaire?

Hors ligne

 

#3 31/03/2012 21:12:10

floaque
Membre
Date d'inscription: 31/03/2012
Messages: 3

Re: se connecter à un site (identifiants)

Déjà, merci de ta réponse prompte.

Doit y'avoir plus immédiat comme méthode :s

Quoi qu'il en soit j'ai oublié de préciser que j'étais sous ubuntu 10.04 LTS 64 bits, je précise cela, au cas où tu aurais un logiciel plus approprié à ma proposer en version gratuite (et idéalement open source).
J'ignore si la version gratuite de "burp suite" possède les features nécessaires, ni même d'ailleurs comment l'utiliser.

Ah et si cela a la moindre importance, le protocole utilisé est https, pas http.

Aurais tu des tutoriels à me linker ?

EDIT :

J'ai réussi à utiliser le proxy en mode passif, mais bon j'avoue que je ne sais pas quoi faire des résultats ...

D'autant plus qu'en fait le but ultime et de me re-connecter de façon automatique après un changement d'ip via un script (bien que cette partie est déjà fonctionnelle), et non pas de me connecter (stupide limitation d'ip statique, je dispose d'une adresse ip dynamique)

Dernière modification par floaque (31/03/2012 22:13:53)

Hors ligne

 

#4 31/03/2012 22:06:45

berga
Administrator
Date d'inscription: 10/01/2008
Messages: 310
Site web

Re: se connecter à un site (identifiants)

Une autre methode serait d'utiliser une fonctionnalité du type "rester connecter" sur le site, que se base sur l'utilisation d'un cookie permanent. Mais cela me parait moins efficace, car le jour où ce cookie expire, ton script ne fonctionnera plus, et tu devras refaire la séquence à la main.

Buep suite est un outil développé en Java, qui fonctionne aussi bien sous windows que sous Linux. Il existe très certainement des outils similaires, mais c'est celui que j'ai l'habitude d'utiliser.  Tu trouveras de nombreux tutoriaux sur son utilisation sur Internet, par exemple ici : http://www.securityninja.co.uk/application-security/burp-suite-tutorial-intruder-tool-version-2/

Concernant le protocole, HTTPS est "juste" la mise en place d'un tunnel chiffré dans lequel faire passer du HTTP. Le protocole applicatif reste donc le même.


Toute science est essentiellement un moyen vers un but.
Le moyen est la connaissance, le but est le contrôle.
Au delà de ceci demeure une seule question: Qui sera le bénéficiaire?

Hors ligne

 

#5 31/03/2012 22:10:47

floaque
Membre
Date d'inscription: 31/03/2012
Messages: 3

Re: se connecter à un site (identifiants)

C'est les mêmes tutos que j'ai trouvé avec google.

J'ai édité mon précédent message, tout ceci reste trop obscur pour moi.

Je suppose que je vais devoir trouver un pigeon pour faire le boulot à ma place hmm

Dernière modification par floaque (31/03/2012 22:12:37)

Hors ligne

 

Pied de page des forums

© Copyright 2002–2005 Rickard Andersson