cobalt strick 4.0系列教程（3）---数据管理

0x01 概述

Cobalt Strike 的团队服务器是行动期间 Cobalt Strike 收集的所有信息的中间商。Cobalt Strike 解析来自它的 Beacon payload 的输出，提取出目标、服务和凭据。
如果你想导出 Cobalt Strike 的数据，通过 Reporting → Export Data 。Cobalt Strike 提供两种选项：把数据导出为 TSV 或 XML 文件。Cobalt Strike 客户端的导出数据功能会融合来自你当前连接的所有团队服务器的数据。

0x02 目标

你可以通过 View → Targets 来与 Cobalt Strike 的目标的信息交互。这个标签页显示与目标表视图相同的信息。

点击 Import 来导入一个带有目标信息的文件。Cobalt Strike 接受每行一个主机的 flat 文本文件，也接受由 Nmap 生成的 XML 文件（-oX 选项）。

Flat File 是一种包含没有相对关系结构的记录的文件。 这个类型通常用来描述文字处理、其他结构字符或标记被移除了的文本。在此可以理解为「纯文本文件」。

点击 Add 按钮来给 Cobalt Strike 的数据模型添加新的目标。

这个对话框允许你向 Cobalt Strike 的数据库添加多个主机。在 Address （地址）字段指定一个 IP 地址的范围或使用 CIDR 表示法来一次添加多个主机。在给数据模型添加主机时，按住 shift 可以使得在点击 Save 之后仍保持这个对话框打开。
选择一个或多个主机然后单击右键来打开主机菜单。通过这个菜单你可以修改对主机的备注、设置它们的操作系统信息，或者从这个数据模型中移除主机。

0x03 服务

在一个 Target （目标）视图中，在一台主机上单击右键，并选择 Services （服务）。这会打开Cobalt Strike 的服务浏览器。在这里你可以浏览服务，给不同的服务备注，也可以移除服务条目。

0x04 凭据

通过 View → Credentials 来与 Cobalt Strike 的凭据模型交互。点击 Add 按钮来给凭据模型添加一条条目。同样的，你也可以按住 Shift 键来保持对话框打开并使得给模型添加新的凭据更方便。点击Copy 来复制高亮的条目至你的剪贴板。使用 Export 来以 PWDump 格式导出凭据。

0x05 维持

Cobalt Strike 的数据模型将其所有的状态和状态元数据存储在 data/ 文件夹。data/ 文件夹存在在你运行 Cobalt Strike 团队服务器的那个文件夹里。
要清除 Cobalt Strike 的数据模型：停止团队服务器，删除 data/ 文件夹及其内容。当你下次启动团队服务器的时候，Cobalt Strike 会重建 data/ 文件夹。
如果你想要存档数据模型，请停止团队服务器，然后使用你喜欢的程序来将data/ 文件夹及其文件存储在其他位置。要还原数据模型，请停止团队服务器，然后将旧内容还原到 data/ 文件夹。
通过 Reporting → Reset Data 可以在不重启团队服务器的情况下重置 Cobalt Strike 的数据模型。