jeudi 3 février 2011

Tuto Xplico internet decodeur

la première partie présente l'installation d'xplico et son web ui, la seconde partie montre son utilisation en live sur du Wep (video + texte); la troisième partie montre son utilisation réelle c'est à dire en forensics sur un fichier pcap (video + texte), et la partie 4 en cli.

Alors, Xplico permet quoi ? il permet d'avoir une vision "humaine" du contenu de votre pcap, si vous prenez wireshark, vous voyez trucs muche tcp icmp etc, vous pouvez extraire l'intégralité via follow tcp stream, mais pour une visualisation rapide du contenu cela n'est pas l'idéal.

C'est là qu'intervient xplico, il va permettre de voir directement les images videos etc.

Let's go on installe le cool tool, je pars sur une base ubuntu, mais pour les autres ca montre bien les dépendances et ne devrait pas poser de problèmes majeurs.


sudo su
#libpcap est nécessaire, mais on va foutre des trucs en plus pour les scripts.

apt-get install sqlite tcpdump tshark libx11-dev libxt-dev libxi-dev apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite0-dev libmysqlclient15-dev python2.5-minimal python2.5 python-all
#sqlite car il nous faut la version 2 d'sqlite + la lib-dev
#(nommé sqlite dans les dépots ubuntu)
#apache2 ca c'est pour la web ui (interface web) pas
#obigé php5-sqilte idem
#tcpdump tshark pour les scripts et de toute manière
#libpcap nécessaire (tshark peut ne pas etre utilisé ou rempacé
#par wireshark qui le contient)
#zlib1g ca c'est pour geoip
#libx* pour pcl6 (option)


cd /tmp
wget http://downloads.sourceforge.net/project/xplico/xplico/version%200.5.2/xplico-0.5.2.tgz

tar zxvf xplico-0.5.2.tgz
wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP-1.4.5.tar.gztar zxvf GeoIP-1.4.5.tar.gz
cd GeoIP-1.4.5
./configure
make
make install
rm -f *.tar.gz
cd /tmp/xplicowget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
gzip -d GeoLiteCity.dat.gz
rm -f *dat.gz
make
cd ..wget http://mirror.cs.wisc.edu/pub/mirrors/ghost/GPL/ghostpdl/ghostpdl-8.70.tar.bz2
tar jxvf ghostpdl-8.70.tar.bz2
#de ghostpcl on a juste besoin de pcl6 c'est necessaire pour "network printer job"
rm -f *.bz2
cd ghostpdl-8.70
make
#ca ca prend du temps...
cd ..
cp /tmp/ghostpdl-8.70/main/obj/pcl6 /tmp/xplico/
rm -rf ghostpdl-8.70
cd /tmp/xplicomake install

#Ça c'était la part 1 de l'installation, maintenant on installe la web ui
#(interface web)

cd /var/www
wget http://downloads.sourceforge.net/project/xplico/xplico/version%200.5.2/xplico_interface-0.5.2.tgz
tar zxvf xplico_interface-0.5.2.tgz
rm -f *2.tgz

#le chmod recursif en 777 c'est si vous avez un problème d'accès,
#attention ca offre les droits max,
#lecture écriture exécution pour tous les fichiers groupes utilisateurs.

chmod -R 777 /gui.xplico.org

On continue ?
Ok il faut que l'interface web soit accessible pour apache avec toutes les options activées et allow override allow.

Pour plus de simplicité vous pouvez directement télécharger la conf (ca ne touche en rien apache, ça active tout pour xplico et uniquement xplico.

cd /etc/apache2/sites-enabled
wget http://bricowifi.free.fr/xplico

Ensuite dans /etc/apache2/ports.conf vous devez ajouter xplico et son port
Voici un extrait du mien avec l'ajout en rouge:

# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default
# This is also true if you have upgraded from before 2.2.9-3 (i.e. from
# Debian etch). See /usr/share/doc/apache2.2-common/NEWS.Debian.gz and
# README.Debian.gz
# xplico Host port
NameVirtualHost *:9876
Listen 9876
NameVirtualHost *:80
Listen 80

Il faut aussi éditer php.ini pour le down, l'upload max:

nano /etc/php5/apache2/php.ini

post_max_size = 100M

upload_max_filesize = 100M

On oublie pas d'activer le mode rewrite sur apache !!!!
a2enmod rewrite

Terminé, on relance apache:
/etc/init.d/apache2 restart

///////////////Pour le tutoriel d'instalation c'est terminé///////////// ouf... (merci de préciser si y a une coquille)

  • Phase 2 Demo live Wep sniffing avec airodump-ng et airtun-ng; décodage avec Xplico


Détail des commandes:

airmon-ng
airmon-ng start wlan1
airodump-ng -w /root/Bureau/s -c 11 --bssid 00:11:22:33:44:55 mon0

(airmon-ng pour passer a carte en monitor)
(airodump-ng pour enregistrer; -w "écrire" -c "canal" --bssid "@ mac de l'ap")

|-------------------------------------------------------------------

|--[3] Launch airtun-ng with the Wep key and mount your tun/tap at0

airtun-ng -a 00:11:22:33:44:55 -w 55:44:33:22:11 mon0
ifconfig at0 up

(airtun-ng -a "@mac ap" -w "clé wep" interface wifi)

|-------------------------------------------------------------------

|--[4] Hack Xplico

| a] enlevez /opt/xplico/xplico.db
| b] enlevez tous /opt/xplico/pol
| c] exec:
| cd /opt/xplico/script/db/sqlite2
| ./create_xplico_db.sh
| d] avec la web ui, réalisez une seul case
| c] dans cette case créez seulement une session d'écoute (sol) listening sessions
| ici /opt/xplico/script vous trouverez
| rt_demo.sh. éditez l'interface par la votre



cd /opt/xplico/script/ && ./sqlite_demo.sh
|#abort

|-------------------------------------------------------------------

|--[5] Run Xplico in live, 1337

cd /opt/xplico/script/ && ./rt_demo.sh

  • Phase 3 demo forensics sur un pcap avec xplico, airdecap-ng pour decrypter le Wep et décoder son contenu


Détail des commandes:

|--[1] First decrypt your wep packet

airdecap-ng -w 55:44:33:22:11 s-01.cap

(airdecap-ng -w "clé wep" "emplacement pcap"

|-------------------------------------------------------------------

|--[2] Run Xplico demo sqlite

cd /opt/xplico/script/ && ./sqlite_demo.sh

|-------------------------------------------------------------------

|--[3] Jump to the web ui, create case & sol, upload your pcap (*dec*)
http://127.0.0.1:9876
  • Phase 4 Xplico en cli (sans l'interface web)
On se place dans notre répertoire de binaire:

./xplico -m pcap -f s-01.cap

pour un dossier de pcap:

./xplico -m pcap -d ~/wardrive/

En temps reel sur eth0:

./xplico -m rltm -i eth0

Voila qui boucle le tuto sur xplico, site web: xplico

Troubleshotings : 

Activate the verbose mode. So, edit /opt/xplico/xi/app/config/core.php, look for

Code:
        Configure::write('debug', 0);

and change the value for '2'. Reload the web and tell us what outputs.


Publié par Cyrille à 17:52
Libellés : , , ,

5 commentaires:

  1. Anonyme11 avril 2011 à 11:26

    Great read! I wish you could follow up to this topic

    cheap clomid

    RépondreSupprimer
  2. Cyrille21 avril 2011 à 23:09

    Ce commentaire a été supprimé par l'auteur.

    RépondreSupprimer
  3. Cyrille21 avril 2011 à 23:10

    Thanks cosisikh ! I will think about that

    RépondreSupprimer
  4. Nadia31 janvier 2014 à 18:39

    J'arrive pas à acceder via le web 127.0.0.1:9876 sachant que j'ai suivi tous les étapes

    RépondreSupprimer
  5. Unknown31 octobre 2015 à 20:55

    Ce commentaire a été supprimé par un administrateur du blog.

    RépondreSupprimer

Inscription à : Publier les commentaires (Atom)