【项目四：网络攻击分析】

                                  网络攻击分析报告

一、审计背景

本次网络安全审计围绕文件溯源专项展开，针对192.168.30.101与192.168.30.170之间的异常网络活动进行深度取证分析。通过捕获并还原TCP传输流，发现攻击者通过伪装文件及内存取证等手段实施数据窃取行为。

二、审计范围与方法

技术范围：涵盖网络流量分析（Wireshark）、文件还原（Base64解码）、文件类型识别（Kali/file命令）和内存取证（Mimikatz）

时间范围：基于TCP流追踪的完整攻击链路

核心方法：采用基于TCP流追踪的文件还原技术，实现从网络流量到文件内容的全链路审计

三、关键发现摘要

攻击者通过HTTP POST请求传输经Base64编码的WinRAR压缩命令

识别出伪装成GIF格式的内存转储文件（Mini Dump）

从内存文件中提取出管理员明文密码等敏感凭证

发现攻击者尝试使用窃取凭证进行横向移动（网络共享连接）

四、审计操作流程

方法一：基于命令行操作的直接取证，数据准备与流量过滤与解码。

cd /d "c:\inetpub\wwwroot"‌

切换到指定目录，/d参数允许切换不同驱动器

c:\inetpub\wwwroot\是IIS Web服务器的默认根目录

whoami‌

显示当前登录用户的用户名，用于身份验证和权限确认

echo [S]‌

输出开始标记[S]，作为命令执行的起始标识

cd‌

不带参数的cd命令显示当前工作目录

echo [E]‌

输出结束标记[E]，作为命令执行的结束标识

cd /d "c:\inetpub\wwwroot"‌

切换到IIS Web服务器的默认根目录，/d参数允许跨驱动器切换

arp -a‌

显示当前ARP缓存表中的IP地址与MAC地址对应关系表

ARP协议负责将目的主机的IP地址解析成目的MAC地址

该命令可帮助诊断局域网内的设备连接问题

echo [S]‌

输出开始标记[S]，作为命令执行的起始标识

cd‌

显示当前工作目录，确认是否成功切换到目标路径

echo [E]‌

输出结束标记[E]，作为命令执行的结束标识

目录切换操作

命令首先使用cd /d "c:\inetpub\wwwroot"切换到IIS Web服务器的默认根目录，其中/d参数允许跨驱动器切换

网络共享连接

net use \192.168.30.184\C$ "Test!@#123" /u:Administrator命令用于建立到远程计算机的网络共享连接 ：

目标地址：\192.168.30.184\CKaTeX parse error: Expected 'EOF', got '#' at position 45: ...trator，密码Test!@#̲123 C是Windows系统的默认管理共享，需要管理员权限才能访问

方法一总结（基于命令行操作的直接取证）‌

核心特点‌：

通过系统命令直接获取环境信息和网络状态

采用标记化操作记录（[S]/[E]标识符）

方法二:基于TCP流追踪的文件溯源分析

采用基于 TCP 流追踪的文件还原方法，结合 Wireshark 流量分析、Base64 解码、文件类型识别（Kali/file 命令）和内存取证（Mimikatz），实现从网络流量到文件内容的全链路审计。

步骤 1：解析 HTTP 请求，提取攻击命令

过滤源 IP=192.168.30.101、目的 IP=192.168.30.170、包含 "rar" 的 POST 请求（如 HTTP 请求 9997）；

提取 z2 参数的 Base64 编码字符串，解码后得到 WinRAR 压缩命令：

cmd

cd /d "c:\inetpub\wwwroot" & C:\progra~1\WinRAR\rar a C:\Inetpub\wwwroot\backup\wwwroot.rar C:\Inetpub\wwwroot\backup\1.gif -hpJJBoom & echo [S] & cd & echo [E]

从中提取压缩密码：JJBoom。

步骤 2：定位 TCP 文件传输流，导出压缩文件

在 Wireshark 中筛选 TCP 流（源 IP=192.168.30.170，目的 IP=192.168.30.101，端口 80）；

发现 TCP 流 21 传输大量数据（约 9817 kB），导出为 "1.rar"；

验证文件加密，需密码解压。

步骤 3：解压并识别伪装文件

使用密码 JJBoom 解压 1.rar，得到 "1.gif"；

图片查看器无法打开，在 Kali 中执行 file 命令，确认其为 Mini Dump crash report（内存转储文件）。

步骤 4：提取内存中的敏感信息

在 Windows 中使用 Mimikatz 加载 1.gif 作为内存转储文件：

提取登录信息

继续执行sekurlsa::logonpasswords命令：

用户名：Administrator

域名：WIN-ROK9845EF0T

明文密码：Test!@#123

密码哈希（LM/NTLM/SHA1）

该命令得到管理员的密码信息

方法二总结（基于TCP流追踪的文件溯源分析）‌

核心特点‌：

采用全链路文件还原技术

结合多工具协同分析（Wireshark+Base64解码+Kali/file+Mimikatz）

五、审计结果

1. 伪装文件隐藏内存数据
   问题描述：攻击者将 Mini Dump 文件伪装为 GIF，绕过文件类型检测。

证据：Kali/file 命令确认文件真实类型为内存转储。

影响：敏感内存数据（如密码、会话信息）可被窃取，用于横向渗透。

六、审计建议

1. 紧急处置
   清除恶意文件：在 192.168.30.170 中删除 1.rar、1.gif 等文件，搜索并清理所有 Mini Dump 文件；

重置管理员密码：修改 WIN-ROK9845EF0T 域内所有 Administrator 密码，要求 12 位以上，含大小写字母、数字、特殊字符；

阻断可疑通信：在网关配置 ACL，禁止 192.168.30.101 与 192.168.30.170/184 的 80 端口通信。

七、结论

本次审计成功还原了攻击者从文件压缩、伪装到内存数据窃取的全过程，并发现其尝试横向移动的行为。建议立即执行紧急处置措施，并逐步推进中长期加固，以全面提升文件安全与内网防护能力。