01 背 景 介 绍

1. 背景介绍

在攻防的时候，尤其在钓鱼时，常常需要对Cobalt Strike设置上线提醒，本文将从单用户提醒到多用户提醒，微信提醒到邮件提醒等进行描述。本文代码已经放到我的GitHub上：https://github.com/crow821/crowsec

如果师傅有需要的话，可以自行修改下即可使用。（文中部分代码参考https://github.com/lintstar/CS-PushPlus）

以前大部分都是使用server酱进行上线提醒，但是现在server酱免费版每日只能提醒5次，其余的都需要收费，所以这里以pushplus示例，目前Pushplus的日发送频率最大额为200次，基本满足日常攻防使用。

02微信单人提醒

在http://www.pushplus.plus/push1.html上扫码登录，会生成一个token:

在https://github.com/lintstar/CS-PushPlus里下载两个文件：PushPlus.cna和PushPlus.py

在PushPlus.py中将你刚刚的token进行替换：

content 部分的信息可以自定义修改，修改完成之后，可以在本地使用python3进行测试:

运行之后，微信收到通知：

测试成功之后，将文件传到服务器上，并且对 PushPlus.cna文件进行配置：

其中红色部分为你当前文件的路径：

在配置完Cobalt Strike之后，可以用命令启动该脚本将其挂载到后台，注意你运行的路径

nohup sudo ./agscript Cobalt_Strikeip 端口 用户 密码 CS-PushPlus-main/PushPlus.cna > PushPlus.log 2>&1 &

Agscript 用法

这里 agscript 的用法为：

./agscript [host] [port] [user] [pass] </path/to/file.cna>

● [host] # 服务器的 ip 地址。

● [port] # cs 的端口号，启动 cs 时有显示。

● [user] # 后台挂载脚本时连接到 teamserver 的用户名。

● [pass] # 启动服务端 cs 时设置的密码。

● [path] # cna 文件的路径。

运行成功之后，可以使用ps -aux | grep agscript 查看当前进程：

当有新主机上线时，在微信中会收到提醒：

03设置微信多人提醒




Cobalt Strike的优点就是支持多人同时进行操作，因此在攻防中，可以对一台Cobalt Strike配置多人提醒，当有机器上线时，可以同时通知所有人，Pushplus目前也支持这种:

去 http://www.pushplus.plus/push2.html记录自己的token

新增一个群组：

在这里需要记住你的群组编号，按照Pushplus的官方文档，当前群组与单人提醒不同的地方在于传参的时候增加了一个"topic"参数。这里需要配置的信息如下："topic":"test1221",

当前文件名称： Pushplus_many.py

配置完成之后，把上面新建的群组二维码发给其他人扫一扫加进来：

扫描完成之后，pushplus公众号会回复自定义设置的关键信息，代表加入成功。

此时在创建的群组里也可以查看到当前加入的订阅人，在这里需要注意：群组即使是你创建的，你也需要扫码加入才可以。

配置完成之后，在本地可以测试下：

此时群组内用户都收到了消息：

本地测试成功之后，将文件放到云服务器上使用同样的方式进行部署即可！

04钉钉群上线提醒

钉钉群和上述的方法基本相同，首先需要在钉钉中拉群一个群聊，并添加一个机器人：

点击自定义：

选择添加即可获得一个Webhook地址：https://oapi.dingtalk.com/robot/send?access_token=1234567fdasfdasfsf8

在Pushplus公众号中，找到个人中心，并在渠道配置中进行配置：

选择Webhook，填写相关信息：

确认之后，在脚本里面进行修改："channel":"webhook", "webhook":"1221"

在这里确认你的Webhook地址信息，修改完成之后，在本地可以运行：

然后在钉钉群组就收到消息了：

本次测试成功之后，直接将脚本部署到云服务器上即可，方法参考第二节。