流量析构工具

 所谓流量析构就是将流量中包含的应用层数据提取出来，比如一张图片通过http传输该工具就可以直接提取成为一张图片而不关心流量的具体细节。

 

快速上手

---离线上传pcap文件提取图片等数据

1.开启xplico

kali 2021.4系统默认没有安装先用kali方源在线安装一下（所谓官方源就是理解为手机小米应用商店类似）

sudo apt install xplico

sudo service apache2 start

sudo service xplico start

打开浏览器 输入ip:9876 发现报错暂时没办法解决，但是并不是一点办法没有，xplico官方网站还提供有预装xplico的系统镜像文件，下载下来

https://sourceforge.net/projects/xplico/files/VirtualBox%20images/

下载最新1.2版本的，因为是国外网站需要魔法上网技术，获取下载链接使用百度网盘离线下载的方式，或者用英国的袋里点袋里下载，直接下载只有几kb速度。

解压后用你virtualbox新建虚拟机加载虚拟镜像文件vdi即可，这里就不详细讲了。 

打开虚拟机系统，登录时候会连接twitter所以会卡住,需改注释一下网页代码，位置在

\opt\xplico\system\xi3\app\View\Layouts\default.ctp

将下面

<script src="https://platform.twitter.com/widgets.js" type="text/javascript"></script>

改为

<!-- <script src="https://platform.twitter.com/widgets.js" type="text/javascript"></script> -->

开启xplico，在菜单中找到xplico start点击即可开启

 

2.分析pcap文件

打开浏览器 输入ip:9876

输入内置用户名：密码  xplico：xplico ，语音必需是英文

点击左侧新建案例，选择pcap，输入案例名称， 点击创建，点击新创建的案例名称进入

点击左侧新建会话，输入会话名称， 点击创建，点击新创建的会话名称进入

如下图所示，绿色表示的内容都可以在左侧找到对应关系

 

 每次要分析pcap文件都要先创建案例和会话，才能导入文件

上传一个pcap文件（样本在这里 ://wiki.xplico.org/doku.php?id=pcap:pcap），上传之后等待解码一小会

 

 

下图提示就是完成了

 

 

 

解码后会看见sip有两条内容

 

 可以在左侧列表查看详细情况，点击duration可以看到具体的数据内容

 

详细介绍

Xplico  是拉丁文explico，英语是explain，译为解释

Xplico的目标是从互联网流量pcap包中提取捕获的应用程序数据。例如，Xplico从pcap文件中提取每个电子邮件（POP，IMAP和SMTP协议），所有HTTP内容，每个VoIP呼叫（SIP，MGCP，H323），FTP，TFTP等。Xplico并不是协议分析工具,而是网络取证工具。所谓协议分析工具是指wireshark等工具对流量进行注释，网络取证工具则是提取流量的有效数据。比如pcap文件中有http流量，该工具可以提取出html页面、媒体等等有效数据。一直以来，大多数人都是使用wireshark进行流量分析、取证等，流量分析当然是wireshark更好，至于流量取证，其实更适合用xplico。 功能就两种离线流量取证和在线流量取证，离线使用文件pcap的已经介绍过，在线就是在创建案例是选择实时采集就这么点功能

优点：

开源免费

支持web管理

缺点： 

兼容性差，软件经常运行出错。

协议支持少且只能分析部分数据

不能像wireshark直接导出对象不方便

web管理操作逻辑太复杂不直观，比如必需先创建案例和会话才能开始分析，分析结果必需点击左侧一个一个查看不方便，应该是分析出什么展示什么才直观

自动分析太慢，同时导入多个pcap文件要等很长时间

界面简陋，长期无人维护

评分：想法不错但是用起来效果不好，总体评价一颗星

来源：http://sourceforge.net/projects/xplico/files/Xplico%20versions
Xplico主页 | Kali Xplico回购

• 作者：安德烈·德·弗朗西斯（Andre de Franceschi）和 ianluca Costa    
• 许可证：GPLv2

xplico – Network Forensic Analysis Tool (NFAT)

 

什么是case案例，可以理解为项目

什么是会话，可以理解为项目流程

 

root@kali:~# xplico -h
xplico v1.2.1
Internet Traffic Decoder (NFAT).
See http://www.xplico.org for more information.

Copyright 2007-2017 Gianluca Costa & Andrea de Franceschi and contributors.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

This product includes GeoLite data created by MaxMind, available from http://www.maxmind.com/.

usage: xplico [-v] [-c <config_file>] [-h] [-s] [-g] [-l] [-i <prot>] -m <capute_module>
    -v 版本
    -c 配置文件
    -h 帮助
    -i info of protocol 'prot'
    -g 显示协议树图
    -l 打印所有日志在屏幕上
    -s 每秒打印解码状态
    -m capture type module
    NOTE: parameters MUST respect this order!

xplico Usage Example

Use the rltm module (-m rltm) and analyze traffic on interface eth0 (-i eth0):

root@kali:~# xplico -m rltm -i eth0
xplico v1.0.1
Internet Traffic Decoder (NFAT).
See http://www.xplico.org for more information.

Copyright 2007-2012 Gianluca Costa & Andrea de Franceschi and contributors.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

This product includes GeoLite data created by MaxMind, available from http://www.maxmind.com/.
Configuration file (/opt/xplico/cfg/xplico_cli.cfg) found!
GeoLiteCity.dat found!
pcapf: running: 0/0, subflow:0/0, tot pkt:1
pol: running: 0/0, subflow:0/0, tot pkt:0
eth: running: 0/0, subflow:0/0, tot pkt:1
pppoe: running: 0/0, subflow:0/0, tot pkt:0
ppp: running: 0/0, subflow:0/0, tot pkt:0
ip: running: 0/0, subflow:0/0, tot pkt:0        存在的问题  

打开浏览器 输入ip:9876 出现下面报错

该报错存在了很久了，是因为该软件太长时间没有更新导致与依赖软件存在兼容性问题，是软件自身问题不是kali的问题，

首先我们检查以下内容

数据库是否存在

数据库用户名密码是否正确

是否创建了表

都没问题，进行分析发现是依赖的cakephp抛出的错误，修改配置文件查看详细信息

sudo nano /opt/xplico/xi/app/Config/core.php

将Configure::write('debug', 0);

改为 Configure::write('debug', 2);

刷新页面，看见下面提示

 

 进一步分析发现是php操作sql数据库是发生语法错误。select 后面没有参数直接跟随from

之后我查找了一堆代码没有找到问题出现的地方所以不了了之了。