Cobalt Stike 用户界面
可视化界面
Cobalt Strike用户界面分为两部:界面顶部显示会话或目标的可视化,界面底部显示与您交互的每个Cobalt Strike功能或会话的选项卡。你可以点击这两个部分之间的区域,并根据自己的喜好调整它们的大小。
工具栏
Cobalt Strike 顶部的工具栏可以快速访问 Cobalt Strike 的常用功能,了解工具栏上的按钮将大大加快你使用 Cobalt Strike 的速度。
| 图标 | 作用 |
|---|---|
 | 连接到另一个团队服务器 |
 | 断开与当前团队服务器的连接 |
 | 创建和编辑 Cobalt Strike 的监听器 |
 | 在图表视图中显示会话 |
 | 在表视图中显示会话 |
 | 在表视图中显示目标 |
 | 管理网络服务器 |
 | 查看凭证 |
 | 查看下载文件 |
 | 查看键盘记录 |
 | 查看截图 |
会话和目标可视化
Cobalt Strike 有多种可视化效果,可以通过工具栏上的(数据透视图、会话表、目标表)按钮 
或 Cobalt Strike -> Visualization 在可视化之间切换。
Pivot Graph 透视图
Cobalt Strike 可以将多个信标连接成链,这些链接的信标通过链中的父信标接收指令并发送输出。每个信标会话都有一个图标,与会话表一样:
- 每个主机的图标指示其操作系统。
- 如果图标呈红色并带有闪电,则表明 Beacon 正在具有管理员权限的进程中运行。
- 较暗的图标表示 Beacon 会话被要求退出并且它确认了此命令。
- 防火墙图标代表信标有效负载的出口点。
- 绿色虚线表示使用信标 HTTP 或 HTTPS 连接出网。
- 黄色虚线表示使用 DNS 出网。
将一个信标会话连接到另一个信标会话的箭头表示两个信标之间的链接。 Cobalt Strike 的 Beacon 使用 Windows 命名管道和 TCP 套接字以这种点对点方式控制 Beacon。
- 橙色箭头是命名管道通道。
- SSH 会话也使用橙色箭头。
- 蓝色箭头是 TCP 套接字通道。
- 红色(命名管道)或紫色 (TCP) 箭头表示 Beacon 链接已损坏。
Sessions Table 会话表
Beacon 是 Cobalt Strike 的有效负载,用于模拟高级威胁行为者。在这里,可以看到每个 Beacon 的外部 IP 地址、内部 IP 地址、该 Beacon 的出口监听器、Beacon 最后一次回连的时间以及其他信息。每行旁边都有一个图标,指示受感染目标的操作系统:如果图标呈红色并带有闪电,则表明 Beacon 正在具有管理员权限的进程中运行;褪色的图标表示 Beacon 会话被要求退出并且它确认了此命令。
Targets Table 目标表
目标表显示了 Cobalt Strike 数据模型中的目标。目标表显示每个目标的 IP 地址、其 NetBIOS 名称以及您或您的团队成员之一分配给目标的注释。目标左侧的图标指示其操作系统,带有闪电的红色图标表示目标有与其关联的 Cobalt Strike Beacon 会话。
目标表对于横向移动和了解目标网络很有用。
控制台
Cobalt Strike提供了一个控制台,可以与Beacon会话、脚本进行交互,并与队友聊天。
TIP
默认键盘快捷键的完整列表可从菜单(帮助 -> 默认键盘快捷键)获得。