0x01 概述

Cobalt Strike 用戶接口分為兩部分。接口的頂部是會話或目標的視覺化展示。接口的底部展示了每個你與之交互的 Cobalt Strike 功能或會話的標簽頁。你可以點擊這兩部分之間的區域、按你的喜好重新調整這兩個區域的大小。

0x02 工具條

Cobalt Strike 頂部的工具條提供訪問 Cobalt Strike 常用功能的快捷方式。熟悉此工具條按鈕會提升你使用 Cobalt Strike 的效率。

0x03 會話和目標可視化展示

Cobalt Strike 有多種可視化展示，這些不同的設計是為了幫助你的行動中的不同部分。你可以通過工具條或 Cobalt Strike → Visualization （可視化）菜單在不同的可視化形式之間切換。
目標表
目標表展示了 Cobalt Strike 的數據模型中的目標。此目標表展示了每個目標的 IP 地址，它的 NetBIOS名稱，以及你或者你的團隊成員給目標標記的一個備注。每個目標最左側的圖標表示了它的操作系統。帶有閃電的紅色圖標表示此目標具有一個與之通信的 Cobalt Strike Beacon 會話。

點擊表頭字段（ address ）來排序主機。高亮一行并右擊來打開一個菜單，此菜單有針對這臺主機的操作選項。按住 Ctrl + Alt ，然后通過點擊來選擇和取消選擇某臺主機。這個目標表對于橫向移動和理解你的目標網絡很有用。
會話表
會話表展示了哪些 Beacon 回連到了這臺 Cobalt Strike 實例。Beacon 是 Cobalt Strike 用于模擬高級威脅者的 payload。在這里，你將看到每個 Beacon 的外網 IP 地址、內網 IP 地址、該 Beacon 的出口監聽器、此 Beacon 最后一次回連的時間，以及其他信息。每一行最左邊是一個圖標，用于說明被害目標的操作系統。如果此圖標是紅色的、并且帶有閃電，那么說明此 Beacon 運行在管理員權限的進程中。一個褪色的圖標意味著此 Beacon 會話被要求離開并且它接受了此命令。

如果你使用一個 DNS Beacon 監聽器，要注意 Cobalt Strike 在第一次回連團隊服務器之前不會知道任何關于主機的信息。如果你看到一行帶有 last call time （上次回連時間）的條目，你就可以給那個 Beacon 它的第一個任務來查看更多信息。在一個或多個 Beacon 上單擊右鍵來查看你的后滲透選項。
Pivot 圖
Cobalt Strike 能夠將多個 Beacon 連接到一個鏈中。這些鏈接的 Beacon 從鏈中的父 Beacon 那里接收命令，并發送其輸出。這類鏈接對于控制哪些會話作為網絡出口和模擬有紀律的攻擊者很有用，這類攻擊者將他們在網絡內部的通信路徑限制在合理范圍內。這種 Beacon 鏈是 Cobalt Strike 最有力的功能之一。
Cobalt Strike 的工作流程使得建立這種鏈非常容易。通常對于 Cobalt Strike 使用者來說鏈接四到五層深度的 Beacon 也是常見的。如果不做可視化那么跟蹤和理解這些鏈是非常困難的。這就是需要借助Pivot 圖的地方。
Pivot 圖用一種非常自然的方式展示了你的 Beacon 鏈。每一個 Beacon 會話都有一個對應的圖標。和會話表中一樣，每個主機的圖標標識了它的操作系統。如果圖標是紅色的、并且帶有閃電，那么表示此Beacon 運行在管理員權限的進程中。一個褪色的圖標說明此 Beacon 會話被要求離開并且它接受了此命令。
防火墻圖標代表你 Beacon payload 的流量出口點。綠色虛線表示使用了 HTTP 或 HTTPS 連接出網。黃色虛線表示使用 DNS 協議出網。

從一個 Beacon 會話連接到另一個 Beacon 會話的箭頭表示兩個 Beacon 之間存在連接。在這種對等通信模式中，Cobalt Strike 的 Beacon 使用 Windows 命名管道和 TCP sockets 來控制其他的Beacon。橙黃色的箭頭代表命名管道通道。SSH 會話也使用一個橙黃色的箭頭。一個湖藍色的箭頭代表一個 TCPsocket 通道。一個紅色的（命名管道）或紫色的（TCP）箭頭表示一個 Beacon 連接斷掉了。
點擊一個 Beacon 來選中它。通過點擊和拖劃出一個覆蓋多臺目標主機的矩形，你可以選擇多個Beacon。按住 Ctrl + Alt ，然后通過點擊來選擇和取消選擇某個 Beacon。
在一個 Beacon 上單擊右鍵來打開一個菜單，此菜單上有可用的后滲透選項。
在 Pivot 圖中提供有多個鍵盤快捷鍵：
Ctrl + + ——放大
Ctrl + - ——縮小
Ctrl + 0 ——重置縮放級別
Ctrl + A ——選擇所有主機
Escape ——清除選擇
Ctrl + C ——將主機排列成一個圓圈
Ctrl + S ——將主機排列成一行
Ctrl + H ——將主機排列到層次結構中（默認的布局）
不選擇任何 Beacon、在 Pivot 圖上單擊右鍵可以配置此圖的布局。

0x04 標簽頁

Cobalt Strike 在一個新的標簽頁中打開每個對話、控制臺和表。點擊標簽頁上面的 X 就可以關閉一個標簽頁。使用 Ctrl + D （Delete）可以關閉當前正在查看的標簽頁。Ctrl + Shift + D 會關閉除了當前停留的標簽頁之外的所有標簽頁。
你可以在 X 符號上面單擊右鍵，會出現一些選項，包括：在一個單獨的窗口中打開此標簽頁、對一個標簽頁截屏、或者關閉同名的所有標簽頁。
對于這些功能，也有對應的快捷鍵。使用Ctrl + W （Window）來在單獨的窗口中打開當前停駐的標簽頁。使用Ctrl + T 來快速地保存當前停留的標簽頁的屏幕截圖。
Ctrl + B （Bottom）會把當前停留的標簽頁移動到 Cobalt Strike 窗口的底部。這對于你想要持續監視的標簽頁很有用。使用Ctrl + E 可以取消此動作，并移除在 Cobalt Strike 窗口底部的標簽頁。
按住 Shift 鍵并點擊 X 可以關閉所有同名的標簽頁。同時按住 Ctrl 和 Shift 鍵并點擊 X 可以在單獨的窗口內打開標簽頁。
使用 Ctrl + ← 和 Ctrl + → 來快速地在標簽頁之間切換。
你也可以通過拖拽的方法來改變標簽頁的前后位置

0x05 控制臺

Cobalt Strike 提供一個控制臺來與 Beacon 會話、腳本等交互，你也可以通過控制臺與你的隊友交流。

控制臺會追蹤你的命令歷史。點擊向上的箭頭可以瀏覽以前鍵入的命令，點擊向下的箭頭可以移回到你鍵入的最后一個命令。
使用 Tab 鍵可以補全命令和參數。

使用 Ctrl + + 可以讓控制臺的尺寸變大， Ctrl + - 可以減小控制臺的尺寸，使用 Ctrl + 0 可以重置控制臺的大小。此更改僅對當前控制臺生效。通過 Cobalt Strike → Preferences （偏好）來永久更改字體。
按Ctrl + F 會顯示一個面板，讓你可以在控制臺中搜索文本。

0x06 表

Cobalt Strike 使用表的形式來展示會話、憑據、目標和行動中的其他信息。
在 Cobalt Strike 中的大多數表都有一個選項來指定用一種顏色對某些行高亮。這些高亮在其他的Cobalt Strike 客戶端中可見。單擊右鍵查看顏色菜單。
在一個表內按 Ctrl + F 可以打開表中的搜索面板。這個功能可以讓你在當前的表中進行過濾。

在搜索面板的搜索框內輸入你的過濾標準。過濾標準的格式取決于你選擇去應用過濾器的條目。使用CIDR 表示法（如：192.168.1.0/24）和主機范圍（192.168.1-192.169.200）來過濾包含 IP 地址的條目。使用數字或數字范圍來過濾包含數字的條目。使用通配符（ * 、? ）來過濾包含字符串的條目。
! 按鈕會否定當前標準。按 enter 鍵會將設定的標準應用于當前表。你可以根據需要將盡可能多的條件堆疊在一起。Reset 按鈕將移除應用于當前表的過濾條件。

總結

以上是生活随笔為你收集整理的cobaltstrick4.0系列教程（2）---用户接口的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。