Tabby从入门到新链挖掘教学文档<\/h1>

一、前言<\/h2>
Tabby是一款基于代码属性图（CPG）和Neo4j图数据库的静态代码分析工具，主要用于Java反序列化利用链（Gadget Chain）的挖掘与分析。本文档系统介绍Tabby的安装、基础语法、实战老链复现与新链挖掘方法。<\/p>

二、Tabby安装<\/h2>

推荐参考详细安装教程：
👉 Tabby安装指南<\/a><\/p>

安装步骤概要：<\/p>

安装JDK 11+、Maven、Neo4j 4.x。<\/li>

克隆Tabby项目并编译。<\/li>

配置Neo4j数据库并导入CPG数据。<\/li>

启动Neo4j并访问Web界面进行查询。<\/li> <\/ol>

三、语法学习<\/h2>

1. 基础语法<\/h3>

模式匹配与节点匹配<\/h4>

使用MATCH<\/code>进行模式匹配（类似SQL的SELECT<\/code>）。<\/li>

节点类型：

(c:Class)<\/code>：类节点<\/li>
(m:Method)<\/code>：方法节点<\/li>
(f:Field)<\/code>：字段节点<\/li>
<\/ul>
<\/li>
<\/ul>
示例：<\/p>
MATCH (m:Method {NAME:"exec"})
<\/code><\/pre>
等价于：<\/p>
MATCH (m:Method) WHERE m.NAME = "exec"
<\/code><\/pre>
节点属性<\/h4>



字段名<\/th>
说明<\/th>
<\/tr>
<\/thead>


SIGNATURE<\/code><\/td>
方法签名（类全名+方法名+参数类型）<\/td>
<\/tr>

NAME<\/code><\/td>
方法名（如readObject<\/code>）<\/td>
<\/tr>

CLASSNAME<\/code><\/td>
类全限定名（如java.util.HashMap<\/code>）<\/td>
<\/tr>

IS_SINK<\/code><\/td>
是否为危险方法（Sink）<\/td>
<\/tr>

IS_SOURCE<\/code><\/td>
是否为入口方法（Source）<\/td>
<\/tr>

INTERFACES<\/code><\/td>
实现的接口列表<\/td>
<\/tr>

SUPERCLASS<\/code><\/td>
父类全限定名<\/td>
<\/tr>
<\/tbody>
<\/table>
字符串匹配操作符<\/h4>



操作符<\/th>
说明<\/th>
示例<\/th>
<\/tr>
<\/thead>


=<\/code><\/td>
精确匹配<\/td>
m.NAME = "readObject"<\/code><\/td>
<\/tr>

CONTAINS<\/code><\/td>
包含子串<\/td>
m.CLASSNAME CONTAINS "Map"<\/code><\/td>
<\/tr>

STARTS WITH<\/code><\/td>
前缀匹配<\/td>
m.NAME STARTS WITH "get"<\/code><\/td>
<\/tr>

ENDS WITH<\/code><\/td>
后缀匹配<\/td>
m.CLASSNAME ENDS WITH "Impl"<\/code><\/td>
<\/tr>

=~<\/code><\/td>
正则匹配<\/td>
m.NAME =~ "read.*"<\/code><\/td>
<\/tr>

IN<\/code><\/td>
集合匹配<\/td>
m.NAME IN ["readObject", "toString"]<\/code><\/td>
<\/tr>
<\/tbody>
<\/table>

2. 关系匹配<\/h3>
基本关系类型<\/h4>



关系类型<\/th>
说明<\/th>
<\/tr>
<\/thead>


:CALL<\/code><\/td>
方法调用关系<\/td>
<\/tr>

:ALIAS<\/code><\/td>
别名关系（同一对象引用）<\/td>
<\/tr>

:EXTENDS<\/code><\/td>
类继承关系<\/td>
<\/tr>

:HAS<\/code><\/td>
类包含字段或方法<\/td>
<\/tr>

:INTERFACE<\/code><\/td>
接口实现关系<\/td>
<\/tr>
<\/tbody>
<\/table>
语法示例<\/h4>

单向调用关系：
(source:Method)-[:CALL]->(sink:Method)
<\/code><\/pre>
<\/li>
双向关系（不指定方向）：
(a)-[:CALL]-(b)
<\/code><\/pre>
<\/li>
多关系类型与可变路径长度：
(a)-[:CALL|ALIAS*1..4]->(b)
<\/code><\/pre>
<\/li>
<\/ul>

3. 函数语法<\/h3>
APOC插件常用函数<\/h4>



函数名<\/th>
说明<\/th>
示例<\/th>
<\/tr>
<\/thead>


apoc.algo.allSimplePaths<\/code><\/td>
查找所有简单路径<\/td>
CALL apoc.algo.allSimplePaths(a, b, "CALL", 5)<\/code><\/td>
<\/tr>

apoc.path.expand<\/code><\/td>
自定义遍历路径<\/td>
CALL apoc.path.expand(a, "CALL>", null, 0, 5)<\/code><\/td>
<\/tr>

apoc.path.subgraphAll<\/code><\/td>
获取子图（所有节点和关系）<\/td>
CALL apoc.path.subgraphAll(a, {maxLevel:3})<\/code><\/td>
<\/tr>

apoc.path.spanningTree<\/code><\/td>
最小生成树遍历<\/td>
CALL apoc.path.spanningTree(a, {maxLevel:5})<\/code><\/td>
<\/tr>
<\/tbody>
<\/table>
Tabby内置函数<\/h4>



函数名<\/th>
参数说明<\/th>
返回值<\/th>
<\/tr>
<\/thead>


tabby.algo.findPath<\/code><\/td>
source<\/code>, direct<\/code>, sink<\/code>, maxNodeLength<\/code>, isDepthFirst<\/code><\/td>
path<\/code>, weight<\/code><\/td>
<\/tr>

tabby.algo.findPathWithState<\/code><\/td>
同上，增加sinkState<\/code>（污点条件）<\/td>
path<\/code>, weight<\/code><\/td>
<\/tr>

tabby.algo.findJavaGadget<\/code><\/td>
同上<\/td>
path<\/code>, weight<\/code><\/td>
<\/tr>

tabby.algo.findJavaGadgetWithState<\/code><\/td>
同上，增加sinkState<\/code><\/td>
path<\/code>, weight<\/code><\/td>
<\/tr>
<\/tbody>
<\/table>

四、老链练手（以Commons Collections为例）<\/h2>
1. 找到目标方法（Sink）<\/h3>
常见终点方法：<\/p>

TiedMapEntry#toString<\/code> \/ hashCode<\/code> \/ equals<\/code><\/li>
TransformedMap#transform<\/code><\/li>
InvokerTransformer#transform<\/code><\/li>
<\/ul>
2. 使用Tabby进行查询<\/h3>
方法一：逐节点查找（可靠但繁琐）<\/h4>
示例：查找BadAttributeValueExpException#readObject<\/code> → TiedMapEntry#toString<\/code><\/p>
MATCH (source:Method {NAME:"readObject", CLASSNAME:"javax.management.BadAttributeValueExpException"})
MATCH (sink:Method {NAME:"toString", CLASSNAME:"org.apache.commons.collections.keyvalue.TiedMapEntry"})
CALL tabby.algo.findJavaGadget(source, true, sink, 10, true) YIELD path RETURN path
<\/code><\/pre>
方法二：直接起点到终点（高效但可能含噪声）<\/h4>
示例：查找HotSwappableTargetSource<\/code> → TiedMapEntry#equals<\/code><\/p>
MATCH (source:Method {CLASSNAME:"org.apache.commons.proxy.HotSwappableTargetSource"})
MATCH (sink:Method {NAME:"equals", CLASSNAME:"org.apache.commons.collections.keyvalue.TiedMapEntry"})
CALL tabby.algo.findJavaGadget(source, true, sink, 10, true) YIELD path RETURN path
<\/code><\/pre>

五、新链挖掘实战案例<\/h2>
案例：Transform方法触发toString<\/h3>
挖掘过程：<\/h4>

使用模糊查询寻找调用toString<\/code>的方法：
MATCH (m:Method) WHERE m.NAME CONTAINS "transform" AND m.CLASSNAME CONTAINS "Transform"
MATCH (sink:Method {NAME:"toString"})
CALL tabby.algo.findJavaGadget(m, true, sink, 5, true) YIELD path RETURN path
<\/code><\/pre>
<\/li>
发现某Transform类中的valueOf<\/code>方法调用了toString<\/code>，且参数可控。<\/li>
构造Payload触发计算器。<\/li>
<\/ol>
漏洞代码片段：<\/h4>
public<\/span> Object transform<\/span>(<\/span>Object input)<\/span> {<\/span>
<\/span><\/span>    return<\/span> String.<\/span>valueOf<\/span>(<\/span>input);<\/span> \/\/ 触发input.toString()
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>利用条件：<\/h4>

可控输入传入transform<\/code>方法。<\/li>
触发链最终调用到toString<\/code>方法。<\/li>
<\/ul>

六、总结与建议<\/h2>

熟练Cypher语法<\/strong>：尤其是路径查询与条件过滤。<\/li>
理解Java反射与反序列化机制<\/strong>：有助于识别关键Sink点。<\/li>
结合代码审计<\/strong>：Tabby辅助发现链段，人工分析确认可行性。<\/li>
关注新组件<\/strong>：新库或版本更新可能引入新链。<\/li>
<\/ol>

如有错误或补充，欢迎指出！

👉 原文作者：follycat

👉 来源：先知社区（2025-09-09）<\/p>

此文档已过滤无关内容，保留核心知识点与操作步骤，适合初学者系统学习与实战参考。<\/p>

Tabby从入门到新链挖掘教学文档<\/h1>

一、前言<\/h2> Tabby是一款基于代码属性图（CPG）和Neo4j图数据库的静态代码分析工具，主要用于Java反序列化利用链（Gadget Chain）的挖掘与分析。本文档系统介绍Tabby的安装、基础语法、实战老链复现与新链挖掘方法。<\/p>

三、语法学习<\/h2>

1. 基础语法<\/h3>

2. 关系匹配<\/h3>

3. 函数语法<\/h3>

四、老链练手（以Commons Collections为例）<\/h2>

2. 使用Tabby进行查询<\/h3>

五、新链挖掘实战案例<\/h2>

案例：Transform方法触发toString<\/h3>

一、前言<\/h2>
Tabby是一款基于代码属性图（CPG）和Neo4j图数据库的静态代码分析工具，主要用于Java反序列化利用链（Gadget Chain）的挖掘与分析。本文档系统介绍Tabby的安装、基础语法、实战老链复现与新链挖掘方法。<\/p>