BloodHound域对象整型属性丢失问题分析与解决方案

问题背景

在BloodHound 7.2.4版本中，安全研究人员发现了一个关键的数据处理问题。当使用SharpHound 2.6.2收集器获取域信息并导入BloodHound时，域对象(Domain)中的多个整型属性值会异常丢失。这些属性包括：

• 机器账户配额(machineaccountquota)
• 最小密码长度(minpwdlength)
• 密码历史记录长度(pwdhistorylength)
• 账户锁定阈值(lockoutthreshold)
• 密码属性(pwdproperties)

这些属性的丢失直接影响了BloodHound的核心功能，特别是"任何用户都可以将计算机加入域"的预置查询无法返回正确结果。

技术分析

问题根源

经过代码审查，发现问题出在数据转换函数stringToInt的实现逻辑上。该函数设计用于将字符串类型的属性值转换为整型，但在处理过程中存在以下缺陷：

1. 类型检查不完整：函数仅处理了字符串和整型输入，未考虑其他数值类型
2. 数据丢失机制：对于无法识别的类型，函数直接删除属性值而非保留原始数据
3. 浮点数处理缺失：实际数据中存在float64类型的数值，但函数未做相应转换

影响范围

该缺陷导致以下严重后果：

1. 安全评估不准确：关键安全指标无法正确显示
2. 查询功能失效：依赖这些属性的预置查询返回空结果
3. 数据完整性破坏：原始收集的有效信息在导入过程中被丢弃

解决方案

开发团队已经通过以下方式修复了该问题：

1. 扩展类型支持：在stringToInt函数中增加对float32和float64类型的处理
2. 安全转换逻辑：确保数值转换过程中不会丢失有效数据
3. 默认值处理：对于无法转换的值采用更合理的默认处理方式

版本更新

该修复已包含在BloodHound v7.3.0版本中，用户可通过升级到最新版本解决此问题。对于无法立即升级的用户，建议：

1. 临时检查域对象的原始JSON数据获取相关信息
2. 手动记录关键安全属性值
3. 关注官方发布的补丁说明

总结

这个案例展示了数据转换过程中严格类型检查的重要性。在安全工具开发中，确保数据完整性对于正确的安全评估至关重要。BloodHound团队通过快速响应和修复，维护了工具在Active Directory安全分析中的可靠性。

对于安全研究人员，建议在工具使用过程中：

1. 定期验证数据完整性
2. 关注版本更新日志
3. 对关键安全指标进行交叉验证