审计工具之tabby安装介绍

安装tabby

首先在git下载最新版本，里面需要修改配置文件target to analyse jar位置 以及文件类型

# targets to analyse
tabby.build.target                    = jars/
tabby.build.libraries                 = jars/

安装neo

neo  0-0

然后下载安装Neo Desktop

https://neo4j.com/download/?ref=get-started-dropdown-cta

新建project，建立本地数据库。设置username neo4j 设置密码为password。设置版本

下载apoc插件（对应版本）可手动也可以在线下载（考虑网速）

https://github.com/neo4j-contrib/neo4j-apoc-procedures/releases/download/4.2.0.0/apoc-4.2.0.0-all.jar

修改当前运行的neo4j project conf文件配置 open folder-configuration：

apoc.import.file.enabled=true
apoc.import.file.use_neo4j_config=false

dbms.memory.heap.initial_size=1G   #可自设
dbms.memory.heap.max_size=4G
dbms.memory.pagecache.size=4G
dbms.security.procedures.unrestricted=jwt.security.*,apoc.*

将apoc的jar包添加到plugins下

全部配置好以后，点击start 运行，如果运行失败可以查看log日志 或者直接命令行neo4j start 看看，失败原因一般来说可能是配置文件错误，插件版本错误，jdk版本错误，内存不够……

使用tabby

修改好tabby 配置文件以后
命令行：java -Xmx6g -jar tabby.jar

使用neo4j 分析

首先点击neo4j brower 然后点击database 可以输入查询语句就会以表格（table)或者图形式显示查询结果

使用例子：

从CVE-2022-39198到春秋杯Dubboapp (yml-sec.top)

如何高效地捡漏反序列化利用链？-安全客 - 安全资讯平台 (anquanke.com)

如果有不明白，直接看Gitwh1t3p1g/tabby: A CAT called tabby ( Code Analysis Tool ) (github.com)使用指南，这里只是做安装方面说明

这个工具需要自己写查询，我觉得查询语法瞅着比codeql简单一点点 好写一些。

原文始发于微信公众号（天才少女Alpha）：审计工具之tabby安装介绍