0x01 概述

Cobalt Strike 用戶接口分為兩部分。接口的頂部是會話或目標(biāo)的視覺化展示。接口的底部展示了每個你與之交互的 Cobalt Strike 功能或會話的標(biāo)簽頁。你可以點擊這兩部分之間的區(qū)域、按你的喜好重新調(diào)整這兩個區(qū)域的大小。

0x02 工具條

Cobalt Strike 頂部的工具條提供訪問 Cobalt Strike 常用功能的快捷方式。熟悉此工具條按鈕會提升你使用 Cobalt Strike 的效率。

0x03 會話和目標(biāo)可視化展示

Cobalt Strike 有多種可視化展示，這些不同的設(shè)計是為了幫助你的行動中的不同部分。你可以通過工具條或 Cobalt Strike → Visualization （可視化）菜單在不同的可視化形式之間切換。
目標(biāo)表
目標(biāo)表展示了 Cobalt Strike 的數(shù)據(jù)模型中的目標(biāo)。此目標(biāo)表展示了每個目標(biāo)的 IP 地址，它的 NetBIOS名稱，以及你或者你的團隊成員給目標(biāo)標(biāo)記的一個備注。每個目標(biāo)最左側(cè)的圖標(biāo)表示了它的操作系統(tǒng)。帶有閃電的紅色圖標(biāo)表示此目標(biāo)具有一個與之通信的 Cobalt Strike Beacon 會話。

點擊表頭字段（ address ）來排序主機。高亮一行并右擊來打開一個菜單，此菜單有針對這臺主機的操作選項。按住 Ctrl + Alt ，然后通過點擊來選擇和取消選擇某臺主機。這個目標(biāo)表對于橫向移動和理解你的目標(biāo)網(wǎng)絡(luò)很有用。
會話表
會話表展示了哪些 Beacon 回連到了這臺 Cobalt Strike 實例。Beacon 是 Cobalt Strike 用于模擬高級威脅者的 payload。在這里，你將看到每個 Beacon 的外網(wǎng) IP 地址、內(nèi)網(wǎng) IP 地址、該 Beacon 的出口監(jiān)聽器、此 Beacon 最后一次回連的時間，以及其他信息。每一行最左邊是一個圖標(biāo)，用于說明被害目標(biāo)的操作系統(tǒng)。如果此圖標(biāo)是紅色的、并且?guī)в虚W電，那么說明此 Beacon 運行在管理員權(quán)限的進程中。一個褪色的圖標(biāo)意味著此 Beacon 會話被要求離開并且它接受了此命令。

如果你使用一個 DNS Beacon 監(jiān)聽器，要注意 Cobalt Strike 在第一次回連團隊服務(wù)器之前不會知道任何關(guān)于主機的信息。如果你看到一行帶有 last call time （上次回連時間）的條目，你就可以給那個 Beacon 它的第一個任務(wù)來查看更多信息。在一個或多個 Beacon 上單擊右鍵來查看你的后滲透選項。
Pivot 圖
Cobalt Strike 能夠?qū)⒍鄠€ Beacon 連接到一個鏈中。這些鏈接的 Beacon 從鏈中的父 Beacon 那里接收命令，并發(fā)送其輸出。這類鏈接對于控制哪些會話作為網(wǎng)絡(luò)出口和模擬有紀(jì)律的攻擊者很有用，這類攻擊者將他們在網(wǎng)絡(luò)內(nèi)部的通信路徑限制在合理范圍內(nèi)。這種 Beacon 鏈?zhǔn)?Cobalt Strike 最有力的功能之一。
Cobalt Strike 的工作流程使得建立這種鏈非常容易。通常對于 Cobalt Strike 使用者來說鏈接四到五層深度的 Beacon 也是常見的。如果不做可視化那么跟蹤和理解這些鏈?zhǔn)欠浅＠щy的。這就是需要借助Pivot 圖的地方。
Pivot 圖用一種非常自然的方式展示了你的 Beacon 鏈。每一個 Beacon 會話都有一個對應(yīng)的圖標(biāo)。和會話表中一樣，每個主機的圖標(biāo)標(biāo)識了它的操作系統(tǒng)。如果圖標(biāo)是紅色的、并且?guī)в虚W電，那么表示此Beacon 運行在管理員權(quán)限的進程中。一個褪色的圖標(biāo)說明此 Beacon 會話被要求離開并且它接受了此命令。
防火墻圖標(biāo)代表你 Beacon payload 的流量出口點。綠色虛線表示使用了 HTTP 或 HTTPS 連接出網(wǎng)。黃色虛線表示使用 DNS 協(xié)議出網(wǎng)。

從一個 Beacon 會話連接到另一個 Beacon 會話的箭頭表示兩個 Beacon 之間存在連接。在這種對等通信模式中，Cobalt Strike 的 Beacon 使用 Windows 命名管道和 TCP sockets 來控制其他的Beacon。橙黃色的箭頭代表命名管道通道。SSH 會話也使用一個橙黃色的箭頭。一個湖藍(lán)色的箭頭代表一個 TCPsocket 通道。一個紅色的（命名管道）或紫色的（TCP）箭頭表示一個 Beacon 連接斷掉了。
點擊一個 Beacon 來選中它。通過點擊和拖劃出一個覆蓋多臺目標(biāo)主機的矩形，你可以選擇多個Beacon。按住 Ctrl + Alt ，然后通過點擊來選擇和取消選擇某個 Beacon。
在一個 Beacon 上單擊右鍵來打開一個菜單，此菜單上有可用的后滲透選項。
在 Pivot 圖中提供有多個鍵盤快捷鍵：
Ctrl + + ——放大
Ctrl + - ——縮小
Ctrl + 0 ——重置縮放級別
Ctrl + A ——選擇所有主機
Escape ——清除選擇
Ctrl + C ——將主機排列成一個圓圈
Ctrl + S ——將主機排列成一行
Ctrl + H ——將主機排列到層次結(jié)構(gòu)中（默認(rèn)的布局）
不選擇任何 Beacon、在 Pivot 圖上單擊右鍵可以配置此圖的布局。

0x04 標(biāo)簽頁

Cobalt Strike 在一個新的標(biāo)簽頁中打開每個對話、控制臺和表。點擊標(biāo)簽頁上面的 X 就可以關(guān)閉一個標(biāo)簽頁。使用 Ctrl + D （Delete）可以關(guān)閉當(dāng)前正在查看的標(biāo)簽頁。Ctrl + Shift + D 會關(guān)閉除了當(dāng)前停留的標(biāo)簽頁之外的所有標(biāo)簽頁。
你可以在 X 符號上面單擊右鍵，會出現(xiàn)一些選項，包括：在一個單獨的窗口中打開此標(biāo)簽頁、對一個標(biāo)簽頁截屏、或者關(guān)閉同名的所有標(biāo)簽頁。
對于這些功能，也有對應(yīng)的快捷鍵。使用Ctrl + W （Window）來在單獨的窗口中打開當(dāng)前停駐的標(biāo)簽頁。使用Ctrl + T 來快速地保存當(dāng)前停留的標(biāo)簽頁的屏幕截圖。
Ctrl + B （Bottom）會把當(dāng)前停留的標(biāo)簽頁移動到 Cobalt Strike 窗口的底部。這對于你想要持續(xù)監(jiān)視的標(biāo)簽頁很有用。使用Ctrl + E 可以取消此動作，并移除在 Cobalt Strike 窗口底部的標(biāo)簽頁。
按住 Shift 鍵并點擊 X 可以關(guān)閉所有同名的標(biāo)簽頁。同時按住 Ctrl 和 Shift 鍵并點擊 X 可以在單獨的窗口內(nèi)打開標(biāo)簽頁。
使用 Ctrl + ← 和 Ctrl + → 來快速地在標(biāo)簽頁之間切換。
你也可以通過拖拽的方法來改變標(biāo)簽頁的前后位置

0x05 控制臺

Cobalt Strike 提供一個控制臺來與 Beacon 會話、腳本等交互，你也可以通過控制臺與你的隊友交流。

控制臺會追蹤你的命令歷史。點擊向上的箭頭可以瀏覽以前鍵入的命令，點擊向下的箭頭可以移回到你鍵入的最后一個命令。
使用 Tab 鍵可以補全命令和參數(shù)。

使用 Ctrl + + 可以讓控制臺的尺寸變大， Ctrl + - 可以減小控制臺的尺寸，使用 Ctrl + 0 可以重置控制臺的大小。此更改僅對當(dāng)前控制臺生效。通過 Cobalt Strike → Preferences （偏好）來永久更改字體。
按Ctrl + F 會顯示一個面板，讓你可以在控制臺中搜索文本。

0x06 表

Cobalt Strike 使用表的形式來展示會話、憑據(jù)、目標(biāo)和行動中的其他信息。
在 Cobalt Strike 中的大多數(shù)表都有一個選項來指定用一種顏色對某些行高亮。這些高亮在其他的Cobalt Strike 客戶端中可見。單擊右鍵查看顏色菜單。
在一個表內(nèi)按 Ctrl + F 可以打開表中的搜索面板。這個功能可以讓你在當(dāng)前的表中進行過濾。

在搜索面板的搜索框內(nèi)輸入你的過濾標(biāo)準(zhǔn)。過濾標(biāo)準(zhǔn)的格式取決于你選擇去應(yīng)用過濾器的條目。使用CIDR 表示法（如：192.168.1.0/24）和主機范圍（192.168.1-192.169.200）來過濾包含 IP 地址的條目。使用數(shù)字或數(shù)字范圍來過濾包含數(shù)字的條目。使用通配符（ * 、? ）來過濾包含字符串的條目。
! 按鈕會否定當(dāng)前標(biāo)準(zhǔn)。按 enter 鍵會將設(shè)定的標(biāo)準(zhǔn)應(yīng)用于當(dāng)前表。你可以根據(jù)需要將盡可能多的條件堆疊在一起。Reset 按鈕將移除應(yīng)用于當(dāng)前表的過濾條件。

總結(jié)

以上是生活随笔為你收集整理的cobaltstrick4.0系列教程（2）---用户接口的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。