腾讯主机安全“猎刃计划”正式发布!WebShell挑战赛烽火再燃

百家 作者:腾讯安全应急响应中心 2022-03-22 10:36:00


未知攻,焉知防。


云环境下,爆破攻击、漏洞攻击、Web入侵、病毒木马等安全事件频发。


腾讯T-Sec主机安全作为云上最后一道防线,基于腾讯安全积累的海量威胁数据,利用机器学习,为客户提供全面检测和修复方案,守卫云上主机安全,并获得Gartner、Frost & Sullivan、赛可达实验室等多家机构权威认证。


为进一步提升安全性能,T-Sec主机安全团队联合腾讯安全云鼎实验室、腾讯安全应急响应中心(TSRC)等,正式推出“猎刃计划”系列挑战赛,诚征各位安全猎手云上对抗,共同提高主机安全。


“猎刃计划”挑战赛共分四期,比赛贯穿全年,主题围绕主机和容器面临的主要安全场景,如webshell绕过、入侵检测等。


年底总排名靠前的选手,将有机会赢取年度万元大奖、获得TSRC年度表彰证书,并特邀参加TSRC年终盛典。



Vol. 1

第一期|WebShell攻防之「猎手归来」 


早于2020年5月,我们即举办过洋葱WebShell安全众测。如今烽火再燃,猎手归来!


此次我们首次对外公开全新自研的WebShell攻击检测“双引擎”——TAV反病毒引擎+洋葱恶意代码检测引擎,诚邀大家测试对抗。


为方便大家测试,避免因环境不一致导致的歧义,本次众测提供一个PHP7版本的docker镜像环境,供大家验证WebShell的有效性。WebShell绕过检测引擎,且在提供的测试Docker镜像中正常使用,就可通过TSRC平台进行提交。


都说PHP是世界上最好的语言,这次让我们从PHP WebShell开始!


1. 众测时间


2022年3月22日10时-3月31日18时


2. 奖励机制


第一期奖励 ⬇️


1)提交符合评分标准和规则的WebShell样本,奖励200安全币(1000元);


2)比赛结束,当期榜单TOP3将获得额外奖励:


序号

奖项

奖品

1

当期冠军

3,000元京东卡

2

当期亚军

2,000元京东卡

3

当期季军

1,000元京东卡

注:按一期比赛中所获的安全币多少排名;若安全币并列,则按第一个文件的提交先后顺序,先提交>后提交


全年奖励 ⬇️


序号

奖项

奖品

1

总榜冠军

10,000元奖金

2

总榜亚军

8,000元奖金

3

总榜季军

6,000元奖金

注:按“猎刃计划”全年所获的安全币多少排名;若安全币并列,则按第一个文件的提交先后顺序,先提交>后提交


3. 挑战环境


1)搭建的检测引擎环境地址:


http://175.178.188.150/ (公测开始时开放)。

参赛者可以在该地址提交PHP文件进行绕过测试。


2)PHP7 docker镜像:


下载地址:

https://share.weiyun.com/8AKvksEn

https://hub.docker.com/r/alexlong/nginx-php7.4.28

(docker镜像使用方式参考“常见问题FAQ”)。


官方提供统一验证环境镜像,参赛者提交的WebShell必须在默认验证环境下能稳定运行。


4. WebShell评判标准


1)WebShell指外部能传参控制(如通过GET/POST/HTTP Header头等方式)执行任意代码或命令,比如eval($_GET[1]);。在文件写固定指令不算Shell,被认定为无效,如


2)绕过检测引擎的WebShell样本,需要同时提供完整有效的curl利用方式,如:curl 'http://127.0.0.1/webshell.php?1=system("whoami")';curl利用方式可以在提供的docker镜像中进行编写测试,地址可以是容器IP或者127.0.0.1,文件名任意,以执行whoami作为命令示例。


3)WebShell必须具备通用性,审核时会拉取提交的Webshell内容,选取一个和验证镜像相同的环境进行验证,如果不能正常运行,则认为无效。


4)审核验证payload有效性时,WebShell文件名会随机化,不能一次性执行成功和稳定触发的,被认定为无效。


5. 规则要求


1)以绕过产品侧的检测点为标准,只要绕过检测点的原理相同即视为同一种绕过方式;


2)相同姿势的绕过方式,以最先提交的参赛者为准,先提交的获得奖励,后提交的视为无效;


3)文件大小不超过3M;


4)所有绕过代码需要在单一文件内,不可以利用多文件方式绕过,且绕过样本需要能够在默认的php.ini配置下运行;


5)为了更真实的对抗,检测引擎会定期进行更新维护;


6)不可与其他测试选手共享思路,比赛期间不得私自公开绕过技巧和方法;


7)禁止长时间影响系统性能暴力发包扫描测试;


8)大赛主办方有权修改包括规则等一切事项。


6. 提交方式


1)请将符合评分标准和规则的报告提交到TSRC

(https://security.tencent.com/index.php/report/add)标题以“[猎刃计划]”开头,先到先得;


2)提交TSRC内容:

webshell样本 + curl命令执行成功的payload + 成功截图 + 绕过思路简要介绍


注:

payload中的地址可以是容器IP或者127.0.0.1,文件名任意,以执行whoami作为命令示例,


如:

curl 'http://127.0.0.1/webshell.php?1=system("whoami")';。curl利用方式可以在提供的docker镜像中进行编写测试。


7. 常见问题FAQ


1)检测引擎检测结果说明:

查杀:上传文件被安全引擎判断为恶意文件。


未查杀:上传文件被安全引擎判断为正常文件


文件异常、扫描异常:检测服务器存在异常,请重新上传文件,如持续异常,请联系TSRC处理。


2)docker镜像使用说明:

①若通过腾讯微云地址下载镜像文件 nginx-php7.4.28.tar,镜像加载使用命令如下:


加载镜像:

docker load < nginx-php7.4.28.tar


运行容器: 

docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 --name php-test -d nginx-php7.4.28:latest


注:容器web端口和目录映射到主机80端口和tmp目录下,可在主机tmp目录上传webshell进行验证


若通过dockerhub下载,进行加载使用命令如下:


加载镜像: 

docker pull alexlong/nginx-php7.4.28:latest


运行容器:

docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 --name php-test -d alexlong/nginx-php7.4.28:latest


注:容器web端口和目录映射到主机80端口和tmp目录下,可在主机tmp目录上传webshell进行验证


 

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接