KALI LINUX 工具大全之信息收集数字取证 --- Xplico (解释)

2021/12/13 7:16:38

编程Tag： 点击 http 流量 kali --- Xplico pcap

本文主要是介绍KALI LINUX 工具大全之信息收集数字取证 --- Xplico (解释)，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

流量析构工具

所谓流量析构就是将流量中包含的应用层数据提取出来，比如一张图片通过http传输该工具就可以直接提取成为一张图片而不关心流量的具体细节。

快速上手

---离线上传pcap文件提取图片等数据

1.开启xplico

kali 2021.4系统默认没有安装先用kali方源在线安装一下（所谓官方源就是理解为手机小米应用商店类似）

sudo apt install xplico

sudo service apache2 start

sudo service xplico start

打开浏览器输入ip:9876 发现报错暂时没办法解决，但是并不是一点办法没有，xplico官方网站还提供有预装xplico的系统镜像文件，下载下来

https://sourceforge.net/projects/xplico/files/VirtualBox%20images/

下载最新1.2版本的，因为是国外网站需要魔法上网技术，获取下载链接使用百度网盘离线下载的方式，或者用英国的袋里点袋里下载，直接下载只有几kb速度。

解压后用你virtualbox新建虚拟机加载虚拟镜像文件vdi即可，这里就不详细讲了。

打开虚拟机系统，登录时候会连接twitter所以会卡住,需改注释一下网页代码，位置在

\opt\xplico\system\xi3\app\View\Layouts\default.ctp

将下面

改为

开启xplico，在菜单中找到xplico start点击即可开启

2.分析pcap文件

打开浏览器输入ip:9876

输入内置用户名：密码 xplico：xplico ，语音必需是英文

点击左侧新建案例，选择pcap，输入案例名称，点击创建，点击新创建的案例名称进入

点击左侧新建会话，输入会话名称，点击创建，点击新创建的会话名称进入

如下图所示，绿色表示的内容都可以在左侧找到对应关系

每次要分析pcap文件都要先创建案例和会话，才能导入文件

上传一个pcap文件（样本在这里 ://wiki.xplico.org/doku.php?id=pcap:pcap），上传之后等待解码一小会

下图提示就是完成了

解码后会看见sip有两条内容

可以在左侧列表查看详细情况，点击duration可以看到具体的数据内容

详细介绍

Xplico 是拉丁文explico，英语是explain，译为解释

Xplico的目标是从互联网流量pcap包中提取捕获的应用程序数据。例如，Xplico从pcap文件中提取每个电子邮件（POP，IMAP和SMTP协议），所有HTTP内容，每个VoIP呼叫（SIP，MGCP，H323），FTP，TFTP等。Xplico并不是协议分析工具,而是网络取证工具。所谓协议分析工具是指wireshark等工具对流量进行注释，网络取证工具则是提取流量的有效数据。比如pcap文件中有http流量，该工具可以提取出html页面、媒体等等有效数据。一直以来，大多数人都是使用wireshark进行流量分析、取证等，流量分析当然是wireshark更好，至于流量取证，其实更适合用xplico。功能就两种离线流量取证和在线流量取证，离线使用文件pcap的已经介绍过，在线就是在创建案例是选择实时采集就这么点功能

优点：

开源免费

支持web管理

缺点：

兼容性差，软件经常运行出错。

协议支持少且只能分析部分数据

不能像wireshark直接导出对象不方便

web管理操作逻辑太复杂不直观，比如必需先创建案例和会话才能开始分析，分析结果必需点击左侧一个一个查看不方便，应该是分析出什么展示什么才直观

自动分析太慢，同时导入多个pcap文件要等很长时间

界面简陋，长期无人维护

评分：想法不错但是用起来效果不好，总体评价一颗星

来源：http://sourceforge.net/projects/xplico/files/Xplico%20versions
Xplico主页 | Kali Xplico回购

作者：安德烈·德·弗朗西斯（Andre de Franceschi）和 ianluca Costa
许可证：GPLv2

xplico – Network Forensic Analysis Tool (NFAT)

什么是case案例，可以理解为项目

什么是会话，可以理解为项目流程

root@kali:~# xplico -h
xplico v1.2.1
Internet Traffic Decoder (NFAT).
See http://www.xplico.org for more information.

Copyright 2007-2017 Gianluca Costa & Andrea de Franceschi and contributors.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

This product includes GeoLite data created by MaxMind, available from http://www.maxmind.com/.

usage: xplico [-v] [-c <config_file>] [-h] [-s] [-g] [-l] [-i <prot>] -m <capute_module>
-v 版本
-c 配置文件
-h 帮助
-i info of protocol 'prot'
-g 显示协议树图
-l 打印所有日志在屏幕上
-s 每秒打印解码状态
-m capture type module
NOTE: parameters MUST respect this order!

xplico Usage Example

Use the rltm module (-m rltm) and analyze traffic on interface eth0 (-i eth0):

root@kali:~# xplico -m rltm -i eth0
xplico v1.0.1
Internet Traffic Decoder (NFAT).
See http://www.xplico.org for more information.

Copyright 2007-2012 Gianluca Costa & Andrea de Franceschi and contributors.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

This product includes GeoLite data created by MaxMind, available from http://www.maxmind.com/.
Configuration file (/opt/xplico/cfg/xplico_cli.cfg) found!
GeoLiteCity.dat found!
pcapf: running: 0/0, subflow:0/0, tot pkt:1
pol: running: 0/0, subflow:0/0, tot pkt:0
eth: running: 0/0, subflow:0/0, tot pkt:1
pppoe: running: 0/0, subflow:0/0, tot pkt:0
ppp: running: 0/0, subflow:0/0, tot pkt:0
ip: running: 0/0, subflow:0/0, tot pkt:0 存在的问题

打开浏览器输入ip:9876 出现下面报错

该报错存在了很久了，是因为该软件太长时间没有更新导致与依赖软件存在兼容性问题，是软件自身问题不是kali的问题，