Mot de passe wireshark

en http

tu filtres sur tcp et destination port et destination address puis tu sélectionne un des packets avec click droit et follow tcp stream.

merci pour la réponse , mais même en appliquant cette combinaison de filtre (tcp.port == 80 and ip.dst == 192.168.1.140 ) il me reste tjours une quantité inestimable de requêtes; et sachant qu'une seule d'entre elle contient le mot de passe en question, faire un follow tcp stream sur chaque paquet et scruter le contenu serait purement chercher une aiguille dans une botte de foin.
encore merci ...

non, faux,
quand tu fais un follow tcpstream, tu as la liste de tous les paquets d'une seule conversation mais surtout le contenu transféré affiché en ascii et le login se trouve forcément au début de la conversation, à moins qu'il ne se fasse pas sur la même connexion tcp
d'un autre côté,
c'est encourageant pour la sécurité de ton système, si même l'administrateur ne trouve pas les mots de passe ;-)

PS,
pour t'aider, ça devrait être dans un post http

rassures toi, le système est conçu dans un but didactique. merci pour la remarque et l'aide. étant loin de mon système, je cherche demain et te tiens informé.
merci encore...

voilà le résultat d"un paquet follow tcp stream après application du filtre :

GET /maint HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, application/vnd.ms-powerpoint, application/vnd.ms-excel, */*
Referer: http://192.168.1.140/user/
Accept-Language: fr
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)
Host: 192.168.1.140
Connection: Keep-Alive
Cookie: appuid=130645E74F2-902041AFC0-L2tpbmRleC-3142322D83; PHPSESSID=9pq932mf74kojblckf4u36asm3
Authorization: Basic bWFpbnQ6MDAwMDAw
HTTP/1.1 301 Moved Permanently
Date: Fri, 30 Mar 2012 14:39:58 GMT
Server: Apache/2.2.3 (CentOS)
Location: http://192.168.1.140/maint/
Content-Length: 313
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://192.168.1.140/maint/">here</a>.</p>
<hr>
<address>Apache/2.2.3 (CentOS) Server at 192.168.1.140 Port 80</address>
</body></html>

mais nulle part je ne vois paraître un quelconque mot de passe. et il y a des paquets qui dont le follow tcp est tout à fait vide. Je n'y comprends rien , est ce normal ???

ce n'est pas ce get qui fait l'authentification, cherche plutôt un http post (délogue toi avant)

j'ai pas compris "délogue ?" peut être c'est pour ca que je ne trouve pas d'http [post]; ou y a t'il un filtre pour piocher du htttp [post] ??

non,
dans statistiques, essaie de filtrer les coms ip (pas tcp) avec ton serveur et là prends toutes les entrées où tu as http, vois si tu as un http post.
délogue toi, ça veut dire te déconnecter du serveur, si tu as cette option.
en fait je devrais écrire déloge (c'est login le terme)

j'ai fait le test sur CCM,
je retrouve bien le mot de passe en clair :-(
par contre, j'ai fait le test sur mon routeur, et là je constate que le code javascript envoyé par le routeur demande non pas le mot de passe , mais son md5, ce qui provoque une transmission normalement indéchiffrable, par des moyens ordinaires.
je ne capte que le login (mon identifiant).
mais c'est bien dans un http post aussi:

POST /login.lp HTTP/1.1   
Host: 192.168.1.254   
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:11.0) Gecko/20100101 Firefox/11.0   
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8   
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3   
Accept-Encoding: gzip, deflate   
Connection: keep-alive   
Referer: http://192.168.1.254/login.lp   
Cookie: xAuth_SESSION_ID=al+eWmxxIMf7iFfNP3BKtQA=   
Content-Type: application/x-www-form-urlencoded   
Content-Length: 82   

rn=al%2BeWmxxIMf7iFfNP3BKtQA%3D&hidepw=7e2d0a37c7b4c48bb61015336373cb7b&user=adminHTTP/1.1 302 Moved Temporarily   

jusque là je ne trouve rien ( pas de post http ) ; pour gagner en temps, je pense qu' il faut que j'essaye autre chose. si quelqu'un connaît un logiciel de capture de mot de passe(sous Windows ou sous Linux ) simple d'usage , je serais ravi qu'il m'en face part...
merci à toutes et à tous et particulièrement à brupala .

tu m"inquiètes là ....
pourquoi veux tu capturer un mot de passe =que tu connais ?
Que tu veilles apprendre à rechercher un mot de passe dans un flux http, je veux bien, si c'est pour sensibiliser tes utilisateurs.
Mais de là à mettre en oeuvre des outils de piratage, c'est autre chose.
tu ne nous aurait pas raconté des salades en disant que tu capturais sur ton PC ?

lol , ne t'inkiet pas , je ne suis guère mal intentionné , je prépare une présentation ( point de situation de mon projet "sécurisation de la voip" ) et pour cela j'aimerai montrer le résultat d'une capure de mot de passe avant et après l'implémentation des protocoles sécurisés à l'instar de SSL. d'ou la necessité de trouvé un outil me permettant de la réaliser. j'espère être plus crédible à présent que j'ai pris la peine de tout expliquer.
encore merci

problème résolu,après une minutieuse recherche , je l'ai enfin trouvé incruster dans un get et non un post. une fois de plus merci

je crois avoir vendu la peau de l'ourse avant de l'avoir tué; certes j'ai pu capturer le mot de passe avec le protocole http , mais en https, j'espérai dumoins le mots de passe crypté (un truc du style *******) mais je ne vois meme pas la ligne réservé à l'authentification. est ce normal ????
please help me.....

normal,
en ssl (https), c'est l' ensemble du paquet qui est crypté, aussi bien les commandes et réponses que les paramètres comme les mots de passe, tu ne peux rien lire avec des moyens normaux.

je suis sensé faire quoi pour le lire alors ??

Dans ce cas,
il faut le demander gentiment à celui qui l'a posté.
ça sert un peu à ça SSL et https tout de même.

please....

t'es lourd là ... très lourd.
Discussion fermée.