CobaltStirke主机上线iOS Bark通知
2023-12-21 08:31:17 Author: 潇湘信安(查看原文) 阅读量:5 收藏
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

0x00 前言

这篇文章我们来分享下如何通过使用Bark接收CobaltStirke主机上线通知,Server酱、Pushplus这两很多师傅都写过了,我就不再写了,可以在网上搜索相关文章或见文末参考文章学习下如何使用。


最近在整合CobaltStirke插件,看到上线通知插件时发现之前常用的Server酱、Pushplus都收费了,限制了每日发送次数,Server酱免费版每天只能发送5条,Pushplus普通用户限制单日请求200次。

0x01 Bark介绍

Bark是一款完整开源的iOS APP,可通过简单调用接口将“自定义通知”推送到您的iPhone,依赖苹果APNs,不会消耗设备的电量,基于系统推送服务与推送扩展,APP本体并不需要运行。
https://github.com/finb/bark

bark-server是完整开源的Bark服务端,用来接收用户的推送请求并转发给苹果APNS,如果对于隐私要求高的可以在自己的私人服务器进行部署,以防止发送的信息被别人窥视。

https://github.com/Finb/bark-server

0x02 Bark安装

App Store下载“Bark”APP,打开后点击中间的注册设备即可,获取苹果推送真实设备的Token以及我们所需的API地址和Key等,注册设备后的界面如下。

右上角有两个按钮选项,云是查看服务器列表(可复制地址和Key),默认用官方API接口,+是可以添加我们自己部署的私人API接口(可查看服务端部署教程)。

0x03 插件配置

根据开源代码改了个CobaltStirke的Bark上线通知插件,新建BarkBot.cna,将以下代码copy进去,然后再把从Bark APP复制的Key粘贴到$bark_key即可,需保留最后的/

这里只写了获取上线主机的公网IP、内网IP、计算机名、当前用户、会话进程名和PID,可自行修改,接着我们在CobaltStirke客户端加载下BarkBot.cna上线通知插件即可。

随便生一个木马文件执行上线即可,不出意外的情况下iOS设备就会收到Bark推送过来的主机上线信息,在APP历史消息中可查看之前推送过来的所有信息,如下图所示。

0x04 注意事项

只改了在CobaltStirke客户端加载使用的(明文传输,可能存在隐私泄露等问题),可以自己搭建私人API接口或者使用Bark提供的加密推送(插件需改为服务端加载)。
nohup sudo ./agscript ip port user pass BarkBot.cna > BarkBot.log 2>&1 &

0x05 支持参数

我们修改的Bark上线通知插件只用到这个API的title、body、group参数,至于其他参数大家可根据自己的需求选择,支持的参数如下图,具体效果可在APP内预览。

0x06 参考文章

除了Server酱、Pushplus,还可以用企业微信、钉钉、飞书、邮件、Telegram、Slack、Discord等等方式进行上线通知,可以看下乌鸦安全@crow师傅的这篇文章:Cobalt Strike的多种上线提醒方法

关注我们

 还在等什么?赶紧点击下方名片开始学习吧!

信 安 考 证

需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...

推 荐 阅 读


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247507932&idx=1&sn=6f59f34c6438306943ec3499c725fbb8&chksm=ce8ce7ef8e23f0b1062233545438f54902d4efcb71a21cc27ffeaa995914ce9bac1d51534b08&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh