Question

菜单栏

菜单栏

Cobalt Strike 菜单栏有

• Cobalt Strike
• 视图
• 攻击
• 报告
• 帮助

Cobalt Strike

• 新建连接——————连接一个新的服务器，连接后可以在底部切换
• 设置

Cobalt Strike 选项配置一些 CS 信息

CS 设置

Console 选项设置 CS 控制台外观

控制台外观设置

Fingerprints 选项可以查看或删除已信任的服务器哈希

查看删除 hash 列表

Theme 选项不是官方选项是我个人加的 CS 主题设置所以部分版本没有很正常，在这里可以选择更改 CS 主题（重启客户端生效）

CS 主题设置

Graph 选项用来设置 CS 外观

外观设置

报告这个没啥用不说了

Statusbar 选项用来设置 CS 控制台中状态栏的外观

状态栏外观

Team Servers 这里可以查看或删除曾经连接过的团队服务器记录

团队服务器连接历史记录

在 CS 启动时在左边会显示曾经连接过的服务器配置可以在这里删除这些记录

• 可视化

Pivot 图

Pivot 图主要是显示会话与会话之间的详细关系，可以清楚的看到会话之间的父子关系， 红色边框、并且带有闪电表示 Beacon 运行在管理员权限 防火墙图标代表你 Beacon payload 的流量出口点。 绿色虚线表示使用了 HTTP 或 HTTPS 连接出网。 黄色虚线表示使用 DNS 协议出网。 如果一个会话用箭头连接着另一个会话表示这两个会话之间是父子关系，子会话通过父会话传递和接受 C2 指令，父子会话之间可以通过两种方式建立连接，Windows 命名管道或TCP Sockets，如果是橙黄色的箭头那么代表两个会话之间使用 Windows 命名管道连接（SSH 会话也使用橙黄色），如果是青色的箭头那么代表两个会话之间使用 TCP socket 通道连接，红色（命名管道）或紫色（TCP）箭头则表示一个 Beacon 会话连接断开。

相关快捷键 Ctrl + + ——放大 Ctrl + - ——缩小 Ctrl + 0 ——重置缩放级别 Ctrl + A ——选择所有主机 Escape ——清除选择 Ctrl + C ——将主机排列成一个圆圈 Ctrl + S ——将主机排列成一行 Ctrl + H ——将主机排列到层次结构中（默认的布局） 不选择任何 Beacon 会话、在 Pivot 图上右键单击可以选择 Pivot 的布局方式，如果选中 Beacon 会话右键则可以进行各种渗透操作

会话列表

这个没啥好说的吧就是显示连接会话

目标列表

跟上一个差不多没啥好说的

• VPN 代理

查看 VPN 接口，会在后面使用详细介绍

• 监听器

监听器配置，会在后面使用详细介绍

• 脚本管理器

管理 CS 脚本，会在后面使用详细介绍

视图

视图下相关选项

都是中文都能看懂具体使用放在后面

攻击

1.生成木马，可以用来生成各种类型的木马

• HTML Application 生成恶意的 HTA 木马文件
• MS Office Macro 生成 office 宏病毒文件
• Payload Generator 生成各种语言版本的 payload
• USB/CD AutoPlay 生成利用自动播放运行的木马文件 4.0 以移除
• Windows Dropper 捆绑器，能够对其他文件进行捆绑 4.0 以移除
• Windows Executable 生成分阶段可执行 exe 木马
• Windows Executable(S) 生成无阶段的可执行 exe 木马

2.钓鱼攻击，这里主要是辅助和横向模块

• web 服务管理 对开启的 web 服务进行管理
• 克隆网站 克隆伪造一个网站可以记录受害者提交的数据
• 文件下载 提供一个文件下载，可以修改 Mime 信息
• Scripted Web Delivery (S) 利用 powershell，bitsadmin，regsvr32 等命令行执行脚本，来执行后门
• Signed Applet Attack 使用 java 自签名的程序进行钓鱼攻击
• Smart Applet Attack 自动检测 java 版本并进行攻击，针对 Java 1.6.0_45 以下以及 Java 1.7.0_21 以下版本
• System Profiler 用来获取一些系统信息，比如系统版本，Flash 版本，浏览器版本等

3.钓鱼邮件，就是用来钓鱼的

工具栏

图片源自 ATEAM 团队翻译的 4.0 手册