brmkit/toastnotify-bof
GitHub: brmkit/toastnotify-bof
一个 Cobalt Strike BOF,用于在后渗透阶段借用合法应用身份发送伪造的 Windows Toast 通知,实现高欺骗性的用户诱导和社工钓鱼。
Stars: 82 | Forks: 7
# toastnotify-bof
一个用于发送 Windows toast 通知的 Beacon Object File (BOF)。配合 [博客文章](https://brmk.me/2026/03/18/toast-my-way.html) 阅读以获取完整上下文和使用案例。
## 子命令
### getaumid
枚举系统上注册的 AUMID (Application User Model IDs)。在发送 toast 之前,使用此命令寻找一个合适的身份进行借用。
```
inline-execute toastnotify.o go getaumid
```
示例输出:
```
[Notifications\Settings - HKCU]
Microsoft.Windows.Explorer
MSEdge
com.squirrel.AnthropicClaude.claude
...
[Notifications\Settings - HKLM]
...
com.squirrel.AnthropicClaude.claude
...
```
### sendtoast
发送带有标题和正文的常规 toast 通知。内部使用 `ToastGeneric` 构建 XML。
```
inline-execute toastnotify.o go sendtoast "MSEdge" "Title" "Notification body"
```
### 自定义
发送来自 base64 编码的任意 XML payload 的 toast。这是支持完整模板的有趣之处:actions、protocol links、images、progress bars、selection inputs、hero images。[为此还有一个应用!](https://apps.microsoft.com/detail/9nblggh5xsl1)
```
inline-execute toastnotify.o go custom "MSEdge" ""
```
编码前的示例 payload:
```
Action Required
Your session requires re-authentication. Click to continue.
```
将其编码并享受吧。
标签:AUMID 枚举, BOF, C++, Cobalt Strike, DLL 注入, ESC8, GUI 欺骗, SCP, Toast 通知, Windows API, Windows 通知, XML 模板, 信息窃取, 客户端加密, 攻击诱捕, 数据擦除, 欺骗防御, 用户操控, 社会工程学, 系统对象劫持, 钓鱼