01 背 景 介 绍
1. 背景介绍
在攻防的时候,尤其在钓鱼时,常常需要对Cobalt Strike设置上线提醒,本文将从单用户提醒到多用户提醒,微信提醒到邮件提醒等进行描述。本文代码已经放到我的GitHub上:https://github.com/crow821/crowsec
如果师傅有需要的话,可以自行修改下即可使用。(文中部分代码参考https://github.com/lintstar/CS-PushPlus)
以前大部分都是使用server酱进行上线提醒,但是现在server酱免费版每日只能提醒5次,其余的都需要收费,所以这里以pushplus示例,目前Pushplus的日发送频率最大额为200次,基本满足日常攻防使用。
02微信单人提醒
在http://www.pushplus.plus/push1.html上扫码登录,会生成一个token:
在https://github.com/lintstar/CS-PushPlus里下载两个文件:PushPlus.cna和PushPlus.py
在PushPlus.py中将你刚刚的token进行替换:
content 部分的信息可以自定义修改,修改完成之后,可以在本地使用python3进行测试:
运行之后,微信收到通知:
测试成功之后,将文件传到服务器上,并且对 PushPlus.cna文件进行配置:
其中红色部分为你当前文件的路径:
在配置完Cobalt Strike之后,可以用命令启动该脚本将其挂载到后台,注意你运行的路径
nohup sudo ./agscript Cobalt_Strikeip 端口 用户 密码 CS-PushPlus-main/PushPlus.cna > PushPlus.log 2>&1 &
Agscript 用法
这里 agscript 的用法为:
./agscript [host] [port] [user] [pass] </path/to/file.cna>
● [host] # 服务器的 ip 地址。
● [port] # cs 的端口号,启动 cs 时有显示。
● [user] # 后台挂载脚本时连接到 teamserver 的用户名。
● [pass] # 启动服务端 cs 时设置的密码。
● [path] # cna 文件的路径。
运行成功之后,可以使用ps -aux | grep agscript 查看当前进程:
当有新主机上线时,在微信中会收到提醒:
03设置微信多人提醒
Cobalt Strike的优点就是支持多人同时进行操作,因此在攻防中,可以对一台Cobalt Strike配置多人提醒,当有机器上线时,可以同时通知所有人,Pushplus目前也支持这种:
去 http://www.pushplus.plus/push2.html记录自己的token
新增一个群组:
在这里需要记住你的群组编号,按照Pushplus的官方文档,当前群组与单人提醒不同的地方在于传参的时候增加了一个"topic"参数。这里需要配置的信息如下:"topic":"test1221",
当前文件名称: Pushplus_many.py
配置完成之后,把上面新建的群组二维码发给其他人扫一扫加进来:
扫描完成之后,pushplus公众号会回复自定义设置的关键信息,代表加入成功。
此时在创建的群组里也可以查看到当前加入的订阅人,在这里需要注意:群组即使是你创建的,你也需要扫码加入才可以。
配置完成之后,在本地可以测试下:
此时群组内用户都收到了消息:
本地测试成功之后,将文件放到云服务器上使用同样的方式进行部署即可!
04钉钉群上线提醒
钉钉群和上述的方法基本相同,首先需要在钉钉中拉群一个群聊,并添加一个机器人:
点击自定义:
选择添加即可获得一个Webhook地址:https://oapi.dingtalk.com/robot/send?access_token=1234567fdasfdasfsf8
在Pushplus公众号中,找到个人中心,并在渠道配置中进行配置:
选择Webhook,填写相关信息:
确认之后,在脚本里面进行修改:"channel":"webhook", "webhook":"1221"
在这里确认你的Webhook地址信息,修改完成之后,在本地可以运行:
然后在钉钉群组就收到消息了:
本次测试成功之后,直接将脚本部署到云服务器上即可,方法参考第二节。
