BloodHound项目中的边(Edges)关系深度解析

于 2025-06-04 09:03:46 发布
阅读量350 收藏 5
点赞数 4
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00196/article/details/148416110

BloodHound项目中的边(Edges)关系深度解析

BloodHound BloodHound 项目地址: https://gitcode.com/gh_mirrors/blo/Bloodhound

什么是BloodHound中的边(Edges)

在BloodHound项目中,边(Edges)是图数据结构中的核心概念之一,它表示不同节点(Node)之间的连接关系。这些边代表了Active Directory环境中各种安全主体之间的权限关系和交互方式,是分析攻击路径的关键要素。

边的方向性含义

边的方向在BloodHound中具有特殊意义,它始终表示攻击方向或权限提升方向。例如,如果一个用户节点通过"MemberOf"边指向一个组节点,表示该用户是该组的成员,继承了该组的所有权限。

主要边类型及其安全影响

1. AdminTo边

安全含义:表示主体对目标计算机具有本地管理员权限。

攻击利用方式

  • 远程代码执行:可通过RDP、WMI、WinRM、服务控制管理器等多种方式
  • 凭据窃取:使用mimikatz等工具提取其他登录用户的凭据
  • 令牌模拟:注入其他用户进程或窃取进程令牌
  • 安全控制绕过:可禁用主机安全防护措施

操作安全考虑

  • PsExec会产生4697事件日志
  • EDR可能检测lsass注入行为
  • 多种横向移动技术都会留下可检测痕迹

2. MemberOf边

安全含义:表示主体是目标安全组的成员。

攻击利用特点

  • 无需额外操作即可继承组权限
  • 嵌套组成员资格会传递权限
  • 是权限提升路径分析的基础

3. HasSession边

安全含义:表示用户在目标计算机上有活动会话。

攻击利用方式

  • 凭据转储:从内存中提取用户凭据
  • 令牌操作:窃取或模拟用户令牌
  • 键盘记录:捕获用户输入
  • 剪贴板监控:获取复制的内容

注意事项

  • 会话状态是瞬时的
  • 凭据可能已被保护
  • 操作可能触发安全警报

4. HasSIDHistory边

安全含义:源主体的SID历史中包含目标主体的SID。

攻击利用特点

  • Kerberos票证会自动包含历史SID
  • 跨域信任时需注意SID过滤
  • 默认情况下多数域信任不启用SID过滤

5. ForceChangePassword边

安全含义:主体可以重置目标用户的密码而无需知道当前密码。

攻击利用方法

  • 使用net.exe命令重置密码
  • 使用PowerView的Set-DomainUserPassword函数
  • 创建PSCredential对象进行认证

操作安全考虑

  • 生成4724事件日志
  • 可能影响服务账户运行
  • 命令行执行可能被记录

6. AddMembers边

安全含义:主体可以向目标安全组添加任意成员。

攻击利用方法

  • 使用net.exe命令添加成员
  • 使用PowerView的Add-DomainGroupMember函数
  • 通过PSCredential对象进行认证

操作安全考虑

  • 组修改操作会产生日志
  • PowerShell v5+有额外安全检测
  • 高权限组变更更易被发现

防御建议

  1. 定期审计边关系,特别是高权限边
  2. 监控敏感操作日志(如4724、4697等)
  3. 实施最小权限原则,减少不必要的边
  4. 启用SID过滤防止跨域权限滥用
  5. 加强主机防护防止凭据窃取

通过深入理解BloodHound中的边关系,安全团队可以更有效地识别权限配置风险,预测潜在攻击路径,并采取针对性的防御措施。

BloodHound BloodHound 项目地址: https://gitcode.com/gh_mirrors/blo/Bloodhound

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

SharpHound3:第3版BloodHound项目的C#数据收集器
05-05
最新版本的SharpHound始终位于的BloodHound存储库中 编译指令 SharpHound是使用C#9.0功能编写的。 若要轻松编译此项目,请使用Visual Studio 2019。 如果要在Visual Studio的早期版本上进行编译,则可以安装 ...
bloodhound-playbook:可复制和可扩展的BloodHound剧本
03-10
通过收集和解析AD事件日志,BloodHound能构建出复杂的权限图谱,展示出“信任”(Trust Edges)和“猎物”(Prey Edges),帮助识别出特权路径,即那些允许低权限账户晋升到高权限的路径。 "playbook"在安全...
探索BloodHound数据的全新维度——bloodhound-import的深度解析与应用
gitblog_00052的博客
06-15 332
探索BloodHound数据的全新维度——bloodhound-import的深度解析与应用 bloodhound-importPython based BloodHound data importer项目地址:https://gitcode.com/gh_mirrors/bl/bloodhound-import 在网络安全领域,掌握Active Directory(AD)环境下的攻击路径对于防...
探索网络域的深度BloodHound Owned 项目解析与应用
gitblog_00058的博客
06-01 286
探索网络域的深度BloodHound Owned 项目解析与应用 BloodHound-OwnedA collection of files for adding and leveraging custom properties in BloodHound.项目地址:https://gitcode.com/gh_mirrors/bl/BloodHound-Owned 项目简介 BloodHou...
Apache Bloodhound 项目推荐
gitblog_00630的博客
11-05 317
Apache Bloodhound 项目推荐 bloodhound 11. Apache Bloodhound: Apache Bloodhound 是一个用于开源项目项目。它提供了一个用于开源项目的库和工具。适合用于在应用程序中处理开源项目。 ...
Apache Bloodhound 项目使用教程
gitblog_00289的博客
08-07 292
Apache Bloodhound 项目使用教程 bloodhound-coreApache bloodhound项目地址:https://gitcode.com/gh_mirrors/bl/bloodhound-core 项目介绍 Apache Bloodhound 是一个开源项目管理工具,旨在帮助团队协作和跟踪项目进度。该项目基于 Python 和 Django 框架开发,提供了一系列功能,...
BloodHound CE: 权限关系可视化神器
gitblog_00775的博客
08-10 477
BloodHound CE: 权限关系可视化神器 BloodHoundSix Degrees of Domain Admin项目地址:https://gitcode.com/gh_mirrors/bl/BloodHound 项目介绍 BloodHound 是一个基于图论的强大工具,专为深入分析Active Directory或Azure环境中的权限关系设计。开发于JavaScript单页应用之上...
Bloodhound 开源项目教程
gitblog_00255的博客
09-02 318
Bloodhound 开源项目教程 bloodhoundHaskell Elasticsearch client and query DSL项目地址:https://gitcode.com/gh_mirrors/blood/bloodhound 1. 项目的目录结构及介绍 Bloodhound 项目的目录结构如下: bloodhound/ ├── README.md ├── LICENSE ├─...
Apache Bloodhound 项目安装与使用教程
gitblog_00031的博客
06-06 337
Apache Bloodhound 项目安装与使用教程 bloodhound 11. Apache Bloodhound: Apache Bloodhound 是一个用于开源项目项目。它提供了一个用于开源项目的库和工具。适合用于在应用程序中处理开源项目项目地...
Bloodhound 开源项目使用教程
gitblog_00700的博客
08-07 661
Bloodhound 开源项目使用教程 bloodhoundMirror of Apache Bloodhound项目地址:https://gitcode.com/gh_mirrors/bloodhound2/bloodhound 1. 项目的目录结构及介绍 Bloodhound 项目的目录结构如下: bloodhound/ ├── docs/ ├── src/ │ ├── Bloodhou...
BloodHound 开源项目使用教程
gitblog_00850的博客
08-10 249
BloodHound 开源项目使用教程 BloodHoundSix Degrees of Domain Admin项目地址:https://gitcode.com/gh_mirrors/bl/BloodHound 1. 项目的目录结构及介绍 BloodHound 是一个用于分析 Active Directory 和 Azure 环境中隐藏关系的工具。以下是其主要目录结构及其功能介绍: Blood...
BloodHound-Tools:收集工具,将网络维度反映到Bloodhound的数据中
03-21
猎犬是事实上的标准,蓝色和红色安全团队都使用它来查找横向移动和特权升级路径,这些路径可能在企业环境中被利用。一个典型的环境可以产生数百万条路径,这代表红队进攻的机会几乎无穷无尽,并且为蓝队创造了看似...
Bloodhound
03-15
仅适用于Java中的wirtten程序,该程序具有gradle,使用git并存储在github上。 动机 该程序是Gustav和Felix的单身工作,他们都是通过这项工作来学习有关机器学习的更多信息。 他们的主管塞巴斯蒂安(Sebastian)对...
ImproHound:确定 BloodHound 中破坏 AD 分层的攻击路径
08-05
在 ImproHound 中,您将通过 OU 结构将 AD 分类为层,ImproHound 将识别使 AD 对象能够破坏更高(接近零)层的对象的 AD 关系,并将分层违规保存在 csv 文件中。 ImproHound 博文: ://improsec....
计算机等级考试二级C语言常见知识点总结.doc
06-18
计算机等级考试二级C语言常见知识点总结.doc
课程设计-jsp484研究生信息查询系统(jsp+mysql)-qkrp.zip
最新发布
06-18
课程设计源代码+数据库+配套文档+教程
依托网络开展综合实践活动课程探析.docx
06-18
依托网络开展综合实践活动课程探析.docx
电机学异步电动机simulink模型
06-18
【电机学】异步电动机simulink模型
商品销售管理综合系统软件
06-18
资源下载链接为: https://pan.quark.cn/s/2f7c1c4db4a5 商品查询:用户可以查询商品信息。 购物车操作:用户可将商品添加至购物车。 购买商品:用户能完成商品购买流程。 订单查询:用户可查询商品订单详情。 个人信息管理:用户能修改自身信息。 购买订单查看:用户可查看购买订单,了解商品发货情况等,同时支持退货操作。 商品管理:管理员可添加、删除商品,修改商品信息。 销售分析: 根据商品单价和销售量计算销售金额。 根据销售情况判断销售状态: 若销售量与库存量比值大于设定值,标记为“旺销”。 若比值小于设定值,标记为“销售不畅”。 若商品销售不畅,按公式降价并更新价格。 根据销售金额计算销售利润。 多维度查询:可按商品名、旺销商品、销售不畅商品等信息查询。 排序功能:按商品单价、销售量、销售金额进行排序。 新手运行该系统需掌握以下技能: Java数据库连接:了解Java如何连接数据库。 SQL资源导入:熟悉如何将SQL文件导入数据库(使用source命令)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

薛美婵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值