FrankieBFG/BHPathExplain

# BHPathExplain BHPathExplain 是一个用于 BloodHound 攻击路径的轻量级解释和推理层。 它利用 YAML 知识库、链路感知推理和权限状态跟踪，将 BloodHound 风格的攻击路径转换为对操作人员友好的说明。 BHPathExplain **不**收集数据、执行寻路或替代 BloodHound。它专注于解释已知的攻击路径。 ## 功能 - BloodHound 路径解释 - 基于 YAML 的知识库 - 原语与 playbook 映射 - 链路感知推理 - 状态感知的权限跟踪 - 最终影响摘要 - KB 验证 - 链路覆盖率分析 ## 安装 ``` pip install -r requirements.txt ``` ## 基本用法 解释路径： ``` python3 -m bhpathexplain.cli \ "User:alice -> ReadGMSAPassword -> Computer:SQLSvc$ -> GenericAll -> Group:Domain Admins" ``` 输出 Markdown： ``` python3 -m bhpathexplain.cli \ "User:alice -> ReadGMSAPassword -> Computer:SQLSvc$ -> GenericAll -> Group:Domain Admins" \ -o notes.md ``` 从文件读取路径： ``` python3 -m bhpathexplain.cli \ --path-file sample_path.txt \ -o notes.md ``` 生成 JSON： ``` python3 -m bhpathexplain.cli \ --format json \ --path-file sample_path.txt \ -o report.json ``` 说明 ``` --path-file Read path input from a file --format json Output structured JSON instead of Markdown -o Write output to a file ``` ## 验证知识库 ``` python3 -m bhpathexplain.cli --validate-kb ``` ## 覆盖率分析 识别尚未具备链路推理规则的观测到的路径转换： ``` python3 tools/find_uncovered_transitions.py report.json ``` 示例输出： ``` Observed unique transitions: 12 Covered transitions: 10 Missing transitions: 2 Observed coverage: 83.33% ``` ## 知识库布局 ``` BHPathExplain_KBs/ ├── edge_kb/ ├── primitive_kb/ ├── playbook_kb/ ├── report_kb/ └── chain_kb/ ``` ## 权限状态跟踪 BHPathExplain 跟踪攻击步骤中的路径权限，包括： - 受控的身份 - 有效的成员身份 - 受控的主机 - 受控的对象 - 凭据材料 - 委派路径 - 证书模拟路径 - 域沦陷 - 第零层暴露 ## 项目状态 当前状态：Beta 该工具的核心部分已完成。目前的开发重点是利用真实的 BloodHound 路径扩展知识库覆盖率并改进链路感知推理。这是一种边做边扩展的方法。 ## 路线图 计划的改进： - [ ] 区分对操作人员有用的关系与信息性图谱关系 - [ ] 基于发现的权限生成推荐的下一步操作 - [ ] 支持多种输出模式（摘要、报告、完整） - [ ] 增加高信号摘要模式，用于快速攻击路径分诊 - [ ] 突出显示路径步骤之间的权限转换 - [ ] 改进常见 Active Directory 攻击原语的影响分析 - [ ] 为防御性审查生成专注于修复的摘要 - [ ] 改进目标感知推理和特定于边的 playbook 选择 - [ ] 将路径分析导出为 Markdown、HTML 和可用于报告的格式 ## 许可证 BHPathExplain 由 Evan DeWeese (FrankieBFG) 创建，是用于 BloodHound 攻击路径的轻量级解释和推理层。 MIT 许可证。详情请参阅 LICENSE。

标签：BloodHound, Ruby, Terraform 安全, Web报告查看器, 协议分析, 攻击路径分析, 权限提升, 模拟器, 知识库, 逆向工具