红队实战 | cobaltstrike钉钉群上线提醒
字数 1244 2025-08-11 08:36:20

CobaltStrike钉钉群上线提醒配置教程

一、前期准备

1.1 钉钉机器人创建

  1. 在钉钉中创建一个群聊
  2. 点击群设置 → 智能群助手 → 添加机器人
  3. 选择"自定义"机器人类型
  4. 设置机器人名称和安全设置(建议选择"加签"方式)
  5. 完成创建后,记录下Webhook地址

1.2 PushPlus配置

  1. 在微信中搜索"Pushplus"小程序
  2. 注册并登录Pushplus账号
  3. 进入"渠道配置" → 选择"Webhook"
  4. 填写相关信息:
    • 渠道名称:自定义(如"CS提醒")
    • Webhook地址:填写从钉钉获取的Webhook地址
    • 其他可选配置按需设置

二、脚本配置

2.1 下载脚本文件

  1. 下载CS_Online_dingding.py脚本: 
    https://github.com/crow821/crowsec/blob/master/CS_Online_reminder/CS_Online_dingding.py
  2. 下载PushPlus.cna脚本: 
    https://github.com/crow821/crowsec/blob/master/CS_Online_reminder/PushPlus.cna

2.2 修改脚本配置

  1. 编辑CS_Online_dingding.py文件:

    • 修改以下参数: 
      "channel": "webhook",
"webhook": "你的钉钉机器人Webhook地址"
    • 其他参数如消息模板等可按需修改

  2. 编辑PushPlus.cna文件:

    • 修改脚本路径为你的实际路径(红色标注部分)
    • 检查其他参数如消息格式等

三、测试脚本

  1. 本地测试:

    python CS_Online_dingding.py
    • 检查钉钉群是否收到测试消息
    • 如有错误,检查脚本配置和网络连接

  2. 服务器部署:

    • 将脚本上传到服务器
    • 确保服务器已安装Python环境

四、CobaltStrike集成

  1. 启动agscript工具:

    nohup sudo ./agscript <Cobalt_Strike_IP> <端口> <用户名> <密码> <PushPlus.cna路径> > PushPlus.log 2>&1 &

    示例:

    nohup sudo ./agscript 192.168.1.100 50050 admin password /path/to/PushPlus.cna > PushPlus.log 2>&1 &

  2. 参数说明:

    • <Cobalt_Strike_IP>: Cobalt Strike团队服务器的IP地址
    • <端口>: Cobalt Strike的端口
    • <用户名>: 团队服务器的用户名
    • <密码>: 团队服务器的密码
    • <PushPlus.cna路径>: PushPlus.cna文件的完整路径

  3. 检查运行状态:

    • 查看PushPlus.log文件确认是否启动成功
    • 使用ps aux | grep agscript检查进程是否运行

五、验证功能

  1. 在Cobalt Strike中获取一个新的会话
  2. 检查钉钉群是否收到新会话上线通知
  3. 通知内容通常包括:
    • 上线时间
    • 受害机IP地址
    • 会话ID
    • 其他配置的信息

六、注意事项

  1. 安全性:

    • Webhook地址属于敏感信息,应妥善保管
    • 建议对脚本文件设置适当的权限

  2. 稳定性:

    • 建议将脚本添加到开机启动项
    • 可以设置定时任务定期检查脚本是否运行

  3. 自定义:

    • 可根据需要修改消息模板
    • 可以扩展脚本功能,如添加更多信息字段

  4. 故障排查:

    • 检查网络连接是否正常
    • 检查Python依赖是否安装完整
    • 查看日志文件定位问题

七、进阶配置

  1. 多机器人支持:

    • 可以配置多个钉钉机器人实现分级告警
    • 修改脚本支持多个Webhook地址

  2. 消息模板定制:

    • 修改脚本中的消息格式
    • 可以添加Markdown格式支持,使消息更直观

  3. 其他平台集成:

    • 类似方法可以集成到企业微信、飞书等平台
    • 只需修改Webhook地址和对应的API调用方式

通过以上配置,可以实现Cobalt Strike会话上线时自动通过钉钉机器人发送通知,便于红队成员及时获取信息并采取行动。

CobaltStrike钉钉群上线提醒配置教程 一、前期准备 1.1 钉钉机器人创建 在钉钉中创建一个群聊 点击群设置 → 智能群助手 → 添加机器人 选择"自定义"机器人类型 设置机器人名称和安全设置(建议选择"加签"方式) 完成创建后,记录下Webhook地址 1.2 PushPlus配置 在微信中搜索"Pushplus"小程序 注册并登录Pushplus账号 进入"渠道配置" → 选择"Webhook" 填写相关信息: 渠道名称:自定义(如"CS提醒") Webhook地址:填写从钉钉获取的Webhook地址 其他可选配置按需设置 二、脚本配置 2.1 下载脚本文件 下载CS_ Online_ dingding.py脚本: 下载PushPlus.cna脚本: 2.2 修改脚本配置 编辑CS_ Online_ dingding.py文件: 修改以下参数: 其他参数如消息模板等可按需修改 编辑PushPlus.cna文件: 修改脚本路径为你的实际路径(红色标注部分) 检查其他参数如消息格式等 三、测试脚本 本地测试: 检查钉钉群是否收到测试消息 如有错误,检查脚本配置和网络连接 服务器部署: 将脚本上传到服务器 确保服务器已安装Python环境 四、CobaltStrike集成 启动agscript工具: 示例: 参数说明: <Cobalt_Strike_IP> : Cobalt Strike团队服务器的IP地址 <端口> : Cobalt Strike的端口 <用户名> : 团队服务器的用户名 <密码> : 团队服务器的密码 <PushPlus.cna路径> : PushPlus.cna文件的完整路径 检查运行状态: 查看PushPlus.log文件确认是否启动成功 使用 ps aux | grep agscript 检查进程是否运行 五、验证功能 在Cobalt Strike中获取一个新的会话 检查钉钉群是否收到新会话上线通知 通知内容通常包括: 上线时间 受害机IP地址 会话ID 其他配置的信息 六、注意事项 安全性: Webhook地址属于敏感信息,应妥善保管 建议对脚本文件设置适当的权限 稳定性: 建议将脚本添加到开机启动项 可以设置定时任务定期检查脚本是否运行 自定义: 可根据需要修改消息模板 可以扩展脚本功能,如添加更多信息字段 故障排查: 检查网络连接是否正常 检查Python依赖是否安装完整 查看日志文件定位问题 七、进阶配置 多机器人支持: 可以配置多个钉钉机器人实现分级告警 修改脚本支持多个Webhook地址 消息模板定制: 修改脚本中的消息格式 可以添加Markdown格式支持,使消息更直观 其他平台集成: 类似方法可以集成到企业微信、飞书等平台 只需修改Webhook地址和对应的API调用方式 通过以上配置,可以实现Cobalt Strike会话上线时自动通过钉钉机器人发送通知,便于红队成员及时获取信息并采取行动。