BloodHound.py与BloodHound CE数据兼容性问题解析

问题背景

在使用BloodHound.py工具收集Active Directory数据并导入BloodHound CE版本时，用户可能会遇到数据无法正常显示的问题。这个问题主要源于两个工具之间JSON数据格式的兼容性问题。

技术分析

数据格式差异

问题的核心在于BloodHound.py生成的JSON文件中，信任关系(Trust)字段的格式与BloodHound CE期望的格式不匹配。具体表现为：

• BloodHound.py输出格式：

{
    "TargetDomainName": "example.com",
    "TrustDirection": 2,
    "TrustType": 2
}

• BloodHound CE期望格式：

{
    "TargetDomainName": "example.com",
    "TrustDirection": "Outbound",
    "TrustType": "Forest"
}

错误原因

BloodHound CE的后端服务使用Go语言编写，在处理JSON数据时，期望TrustDirection和TrustType字段为字符串类型，而BloodHound.py生成的JSON中这些字段是数字类型。这种类型不匹配导致了数据解析失败。

解决方案

临时解决方案

对于急需使用的情况，可以采用以下方法：

1. 手动修改生成的JSON文件，将数字值转换为对应的字符串值：

   • TrustDirection:
     • 1 → "Inbound"
     • 2 → "Outbound"
     • 3 → "Bidirectional"
   • TrustType:
     • 1 → "ParentChild"
     • 2 → "Forest"
     • 3 → "External"

2. 使用修复分支版本的BloodHound.py：

git clone -b bloodhound-ce_fix#157 https://github.com/ipfyx/BloodHound.py.git

长期解决方案

BloodHound.py项目已经合并了修复此问题的PR，用户应更新到最新版本(v1.7.2及以上)以避免此问题。

技术建议

1. 版本兼容性检查：在使用任何安全工具时，应确保收集器和分析器的版本兼容性。

2. 日志分析：当遇到数据导入问题时，应仔细查看BloodHound CE的容器日志，其中通常会包含详细的错误信息。

3. 数据验证：在导入前，可以先用JSON验证工具检查生成的文件是否符合预期格式。

总结

BloodHound工具链在Active Directory安全分析中发挥着重要作用，但不同组件间的数据格式兼容性问题可能会影响使用体验。理解这些格式差异并采取适当的解决措施，可以确保安全评估工作的顺利进行。随着项目的持续更新，这类兼容性问题将逐渐减少，但保持工具的最新版本始终是最佳实践。