3.1、概述

Cobalt Strike 团队服务器是行动期间 Cobalt Strike 收集的所有信息的中间商。Cobalt Strike 解析来自``Beaconpayload 的输出，提取目标、服务和凭据。

如果想导出Cobalt Strike的数据，通过Reporting-->Export Data进行导出。Cobalt Strike提供了将其数据导出为TSV和XML文件的选项。Cobalt Strike 客户端的导出数据功能可以把当前连接到的所有团队服务器中的数据合并，并导出TSV 和 XML 文件与 Cobalt Strike 数据模型中的数据。

# 3.2、目标

通过 View --> Targets 来与 Cobalt Strike 的目标的信息交互。这个标签页显示和目标表视图信息是相同的。

点击Import可以包含目标信息的文件。Cobalt Strike 接受每行一个主机的纯文本文件。它还可以导入由 Nmap –oX 选项生成的 XML 文件。

点击Add可以添加新目标到Cobalt Strike的数据模型中。

可以将多个主机添加到Cobalt Strike的数据库中。指定 IP 地址范围或在地址字段中使用 CIDR表示法一次添加多个主机。

单击Save时按住 shift 键可将主机添加到数据模型并保持此对话框打开状态。

选择一个或多个主机然后右键打开Host菜单。通过这个菜单选项你可以修改主机的备注、操作系统信息，或者从数据模型中移除主机。

# 3.3、服务

在一个 Target （目标）视图中，在主机上单击右键，并选择 Services （服务）。打开Cobalt Strike 的服务浏览器。在这里你可以浏览服务，添加服务备注，也可以移除服务条目。

# 3.4、凭据

点击菜单栏上的 View -> Credentials 与 Cobalt Strike 的凭证模型进行交互。

点击Add添加条目到凭证模型。同样，可以按住 Shift 键的同时点击Save以保持对话框打开，以便继续添加新凭据。

点击Copy 复制高亮的条目至剪贴板，点击Export以PWDump 格式导出凭据。

# 3.5、维持

Cobalt Strike 的数据模型将其所有状态和状态元数据保存在 data/ 目录中。该目录存在于运行 Cobalt Strike teamserver 的目录中。

<img src="https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202309071035916.png?imageMogr2/format/webp" alt="image-20230907103500859" style="zoom:50%;" />

要清除 Cobalt Strike 的数据模型：停止teamserver，删除 data/ 目录及其内容。当下次启动团队服务器时，Cobalt Strike 将重新创建 data/ 目录。

如果要保存数据模型，先请停止团队服务器，将 data/ 目录及其文件存储在其他位置。要恢复数据模型，请先停止团队服务器，并将旧内容恢复到 data/中。

点击菜单Reporting -> Reset Data可以在不重启teamserver的情况下重置数据模型。

清理团队服务器数据

TeamServer 添加了一个新脚本，它可以清除 TeamServer 中的数据和状态，使其恢复到默认状态。输入以下命令：

./clearteamserverdata

将显示一条警告，必须输入 CLEAR 才能继续执行该命令。

当要删除的目录不存在时，显示的错误是正常的。在这种情况下，没有downloads, screenshots和 uploads目录，因此无法删除它们。它将列出无法删除的目录和文件。

# 说明

本文由笔者在Cobalt Strike官方用户指南原文(https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_main.htm)基础上编译，如需转载请注明来源。