如何运用kali-xplico网络取证分析？点开看看吧

0x00前言：

本工具仅供安全技术学习和教育用途，禁止非法使用！

     前方高能 建议物理机选作，虚拟机快照，万一你那个东西做错了，我还得背锅
0x01介绍：

     Xplico网络数据取证工具  

     个人理解的话  就是在arp劫持的前提下，能够获取到 抓取到，邮件的相关信息  一个账号密码，有些证书过期的一个站点的账号密码也能抓取到的

xplico 是一个IP流量解码器，用于从互联网流量应用数据中提取数据。它可以从pcap文件，提取每封电子邮件的POP、IMAP 和 SMTP协议，提取所有的HTTP内容，VoIP调用（SIP, RTP, H323, MEGACO, MGCP），IRC，MSN，等等。它不是一个数据包嗅探器或网络协议分析器，而是一个IP/互联网流量的解码器或网络取证分析工具（NFAT）。详细的官方说明看这个：https://bbs.ichunqiu.com/forum.p ... mp;highlight=xplico 说的比较官方，，，完全没看懂，那么我就说说 新手来说 怎么安装和使用吧，

0x02安装：

     当然要安装了，附带着我的更新链接

     #kali官方源
     debhttp://http.kali.org/kalikali-rolling main non-free contrib
     #中科大的源
     #deb http://mirrors.ustc.edu.cn/kalikali-rolling main non-free contrib
0x03命令参数：

     本产品包括GeoLite数据由MaxMind提供http://www.maxmind.com/.usage: xplico [-v] [-c <config_file>] [-h] [-s] [-g] [-l] [-i <prot>] -m          
    <capute_module>        -v 版本
                                        -c 配置文件       
                                        -h this help        
                                        -i 协议保护信息'        
                                        -g 协议的显示图树        
                                        -l 在屏幕上打印所有日志        
                                        -s 打印每一秒钟deconding状态       
                                        -m 捕获模块类型        
                                       NOTE: 参数必须遵守此顺序！ 
    当前使用的版本：

     在 kali-linux菜单中的位置

    这破玩意是 在网页中的ui中，使用的，别以为是用命令行下的，也没有图形界面  之前没用过这玩意  完全不懂 一点一点摸索吧  发现没有端口，，找了官方文档  文档说 需要 apache2服务

     启动 apache2服务

 

      端口一开，在刷新下网页  还有这个错误，他说让我运行这个服务大家直接敲  /etc/init.d/xplico start  这句的意思就是启动 xplico的服务，然后我们去启动，有可能出现刷新不出来的情况，有人说需要FQ，但我觉得应该不用，我直接吧本地网卡断掉了，这里 如果大家出现刷新不出来的情况，请尝试用英文的界面尝试刷新

      现在 工具没有什么问题了  下一步  看看怎么玩  不对  求德玛得   有报错，，仔细看了看 说需要选择一个启动器作为跟，这应该是初始设置了吧按照他说的 我们做一遍

0x04使用（网络流量取证）：

     很明显不 启动那个 是没有这个登录的

     看的到重点吧，，，这货支持中文

     默认密码  xplico：xplico你懂吧

      登陆之后 基本上没有什么东西是你能玩的 点最新案例，（就是新建一个项目的意思）这里我随便创建一个，看看 怎么玩

     点击你之前创建好的会话

     这里  发现是空的 是因为我们没对他进行详细的设置  那么我们点击 新建回话  也就是 session

     随便输入一个名字

 

      选择你刚刚创建的会话名称  1234  会直接跳转   这里会直接接收实时是的数据，也就是不经过arp欺骗的 本机流量  这里我们试一下

      我想 你只要是 小学毕业 应该就能看懂的

      这里要是留空  不会有数据显示的 是需要设置的

     因为刚才 随便上了几个网页 是在kali中上的  所以 dns的数据包一定会有的左侧是导航  右侧是显示

     如果到这里 你还是觉得他很鸡肋，，，那是你没有和 arp欺骗结合在一起  以前我们是需要手动的一个一个敲 但是现在不同了   我们可以在线的 或者说在本地其解析抓到的数据包，，在最开始设置的时候 是可以选择  本地pcap的数据用来做分析的

     吐槽一下，，，，中文版的翻译有点，，，，，咳咳 你懂
0x05使用（本地离线数据包）：
    我们在刚才的创建爱弄一个项目哪里能看到可以使用本地抓取到的数据包，并直接可以拿过来做数据分析，这里呢我们尝试一下，首先在物理机 开启wireshack开始抓包，然后拿到虚拟机中测试，记得保存的时候 保存成 pcap的数据格式，

     除了我们需要启动的apache2服务之外 我们回去还需要启动 xplico本身的服务，这两个启动了之后 需要我们访问本地接口的9876端口，中间的步骤和之前的都差不多，唯独 在你抓取实时流量的时候可以选择中文，在使用本地抓取到的数据包，保存的pcap文件的用于分析的时候 一定要选择英文，要不然就会报错，然后需要我们设置过滤，只查看哪些接口的流量，注意，在你上传pcap文件的时候 一定要使用英文，在中文环境下会报错，英文环境就不会，可能中中间汉化的问题吧，我尝试修改其中的php配置文件，但我发现不是那个问题，等他上传上去之后，需要他自动为我们进行解析和分类，

    这里选择了一个典型的的案例给大家展示，你用wireshack还原不了图片吧，哈哈  我们在看看别的，下图是单个文件的抓取，同样，在他的筛选中，他还可以抓取到视频的文件，还有一些flash等等，

0x06总结：
     感觉这个工具挺好用的，如果加上ettercap和arp的欺骗我想同一个局域网下的主句都会挂吧，常常听我女神说局域网才是最不安全的，你永远不知道别人在卑职你干什么，每一次断网都有可能是一次劫持的开始。