Menu contextuel¶
Le menu contextuel du cockpit est l'interface principale pour opérer sur les machines cibles. Faites un clic droit sur n'importe quel noeud dans le Graphe de Pivot ou sur n'importe quelle ligne dans la Table des Beacons pour l'ouvrir. Le menu donne accès instantanément à plus de 120 techniques de post-exploitation organisées en 12 catégories opérationnelles, avec recherche en temps réel, favoris, indicateurs de risque OPSEC et exécution en un clic.
Raccourci clavier
Le champ de recherche est automatiquement sélectionné à l'ouverture du menu. Commencez à taper immédiatement pour filtrer les commandes.
Recherche¶
Une barre de recherche en haut du menu filtre les commandes dans toutes les catégories en temps réel. La recherche porte sur :
- Le nom de la technique (ex. « LSASS », « Kerberoast »)
- Le texte de description (ex. « credential », « lateral »)
- L'identifiant de la technique (ex. « T1003.001 », « PRIVESC_UAC_CMLUA »)
Quand une requête de recherche est active, la structure par catégories est remplacée par une liste plate des résultats correspondants. Effacez la recherche pour revenir à la vue normale par catégories.
Favoris et commandes récentes¶
- Favoris
-
Cliquez sur l'icône étoile de n'importe quelle technique pour la marquer comme favorite. Les techniques favorites apparaissent dans une section Favoris dédiée en haut du menu, au-dessus de toutes les catégories. Les favoris persistent entre les sessions du navigateur via localStorage.
Pour retirer un favori, cliquez à nouveau sur l'étoile remplie.
- Commandes récentes
-
Le menu garde en mémoire vos 10 dernières commandes exécutées et affiche les 5 plus récentes dans une section Récent sous les Favoris. Cela permet de répéter rapidement les techniques fréquemment utilisées sans naviguer dans les catégories.
Les récents se mettent à jour automatiquement à chaque exécution d'une technique.
Actions rapides¶
Ces actions apparaissent en haut du menu et opèrent sur le beacon de la machine sélectionnée :
| Action | Description |
|---|---|
| Open Shell | Ouvre un onglet shell interactif pour le beacon |
| Kill Beacon | Termine le processus du beacon sur la cible |
| Set Sleep | Change l'intervalle de sommeil du beacon (en secondes) |
Explorer¶
| Onglet | Description |
|---|---|
| File Browser | Explorateur de fichiers graphique pour la cible |
| Process List | Liste des processus en temps réel avec filtrage et options d'injection |
| Desktop | Vue bureau à distance de type VNC |
Tunneling¶
| Action | Description |
|---|---|
| SOCKS Proxy | Crée un tunnel proxy SOCKS4a/5 à travers le beacon |
| Port Forward | Configure la redirection de port inversée |
Catégories de techniques¶
Les techniques sont organisées en 12 catégories opérationnelles suivant les conventions de Cobalt Strike. Les catégories avec 5 techniques ou plus utilisent des sous-catégories à deux niveaux pour faciliter la navigation.
| Catégorie | Techniques | Sous-catégories |
|---|---|---|
| Credentials | 10 | SAM & LSA, LSASS, NTDS, Browser & Apps, LAPS/gMSA, Pass-the-Hash |
| Priv Esc | 19 | UAC Bypass, Potato, Token Manipulation, System |
| Lateral Movement | 4 | — |
| Injection | 5 | — |
| Evasion | 15 | AMSI/ETW, Sleep & Memory, Process, Logging, Config, LOLBins |
| Discovery | 18 | Network, Users & Groups |
| AD Attacks | 3 | — |
| Kerberos | 6 | — |
| Persistence | 1 | — |
| Coercion | 2 | — |
| Collection | 16 | Surveillance, Desktop, Data, Exfiltration |
| Execution | 22 | Shell & Script, Beacon Spawn, Code Execution, Impact |
Les catégories sans sous-catégories (marquées —) affichent les techniques dans une liste plate.
Indicateurs de risque OPSEC¶
Chaque technique dans le menu affiche un point coloré indiquant son niveau de risque de détection :
| Couleur | Risque | Signification | Exemples |
|---|---|---|---|
 | Faible | Énumération passive, changements de configuration, appels API bénins. Télémétrie minimale générée. | Net View, Port Scan, Clipboard, Screenshot, Get Privileges, Token Store, OPSEC Config |
 | Moyen | Opérations actives avec empreinte de détection modérée. Fork-and-run, manipulation de tokens, opérations fichiers, contournement UAC. | UAC Bypass (CMSTPLUA, fodhelper), Steal Token, File Operations, Registry, LOLBins |
 | Élevé | Opérations touchant des ressources fortement surveillées. LSASS, SAM, NTDS, injection de processus, vol de credentials, exécution PowerShell, opérations destructives. | LSASS Dump, SAM Dump, DCSync, Kerberoast, Process Injection, AMSI/ETW Bypass, PowerShell |
Rouge signifie que l'EDR surveille
Les techniques avec un point OPSEC rouge touchent des ressources que chaque EDR moderne surveille de près (LSASS, ruche SAM, fournisseurs ETW, handles de processus distants). Utilisez-les uniquement quand nécessaire et combinez avec des techniques d'évasion (syscalls indirects, BeaconGate, sleep masking) pour réduire la surface de détection.
Filtrer par risque
Utilisez la barre de recherche pour trouver rapidement des alternatives à faible risque. Par exemple, préférez Net View plutôt que LSASS dump pour l'énumération initiale.
Les niveaux de risque proviennent des métadonnées YAML de la base de connaissances dans server/knowledge_base/techniques/ et sont servis via l'API. Ils ne sont pas codés en dur dans l'interface.
Badges de privilège¶
Les techniques nécessitant un contexte de haute intégrité (administrateur/SYSTEM) affichent une icône de bouclier ambre à côté de leur nom. Cela aide les opérateurs à identifier quelles commandes échoueront depuis un beacon de moyenne intégrité et lesquelles nécessitent une élévation de privilèges au préalable.
- Pas de badge : Fonctionne depuis un contexte utilisateur standard (moyenne intégrité)
- Icône bouclier : Nécessite un contexte élevé (haute intégrité ou SYSTEM)
Escalader d'abord
Si votre beacon tourne en moyenne intégrité, utilisez d'abord une technique Priv Esc (UAC Bypass, Potato, GetSystem) avant de tenter les commandes avec le badge bouclier.
Filtrage par OS¶
Le menu filtre automatiquement les techniques en fonction du système d'exploitation de la machine cible. Les techniques Windows uniquement sont masquées sur un beacon Linux, et inversement. Les techniques multi-plateformes (ex. scan de ports, commandes shell) apparaissent sur toutes les cibles.
Ce filtrage est transparent -- vous ne voyez que les techniques applicables à votre cible actuelle.
Exécution des techniques¶
Les techniques suivent deux chemins d'exécution selon qu'elles nécessitent des paramètres :
- Pas de paramètres requis
-
La technique s'exécute immédiatement au clic avec les valeurs par défaut. Une notification toast confirme que la tâche a été mise en file d'attente. C'est le cas le plus courant pour les commandes d'énumération et de configuration.
- Paramètres requis
-
Un dialogue de paramètres s'ouvre, vous demandant de remplir les champs requis (ex. PID cible pour l'injection, nom d'utilisateur pour la manipulation de tokens). Les paramètres optionnels affichent leurs valeurs par défaut. Soumettez le dialogue pour exécuter.
Spawn Beacon¶
Le sous-menu Spawn Beacon fournit 7 méthodes de mouvement latéral pour déployer un nouveau beacon sur la machine cible depuis un beacon existant sur une autre machine :
| Méthode | Protocole | Description |
|---|---|---|
| PsExec | SMB | Crée un service sur l'hôte distant via les partages admin SMB |
| WMI | DCOM/RPC | Exécute via Windows Management Instrumentation |
| WinRM | HTTP/S | Utilise Windows Remote Management (PowerShell remoting) |
| DCOM | RPC | Exploite les objets COM distribués pour l'exécution |
| Pass-the-Hash | NTLM | S'authentifie avec un hash NTLM au lieu d'un mot de passe |
| Pass-the-Ticket | Kerberos | S'authentifie avec un ticket Kerberos forgé ou volé |
| Token Impersonation | Local | Utilise un token volé depuis le beacon actuel |
Liens P2P¶
Le sous-menu P2P Links gère les connexions beacon pair-à-pair :
- Connect to TCP Bind -- se connecte à un beacon TCP bind en écoute sur la cible
- Unlink Child -- déconnecte un beacon enfant lié
Les connexions P2P permettent aux beacons de se chaîner sans accès internet direct, routant le trafic à travers les beacons parents.
Playbooks¶
Le sous-menu Run Playbook liste les playbooks d'automatisation disponibles. Les playbooks sont des séquences prédéfinies de techniques qui s'exécutent dans l'ordre, utiles pour les workflows opérationnels courants comme l'énumération initiale ou la collecte de credentials.
Voir Automatisation et Playbooks pour les détails sur la création et la gestion des playbooks.