共计 2721 个字符,预计需要花费 7 分钟才能阅读完成。
未知攻,焉知防。
云环境下,爆破攻打、破绽攻打、Web 入侵、病毒木马等安全事件频发。腾讯 T -Sec 主机平安作为云上最初一道防线,基于腾讯平安积攒的海量威逼数据,利用机器学习,为客户提供全面检测和修复计划,守卫云上主机平安,并取得 Gartner、Frost & Sullivan、赛可达实验室等多家机构权威认证。
为进一步晋升平安性能,T-Sec 主机平安团队联结腾讯平安云鼎实验室、腾讯平安反病毒实验室、腾讯平安科恩实验室、腾讯平安应急响应核心(TSRC)等,正式推出“猎刃打算”系列挑战赛,诚征各位平安猎手云上反抗,共同提高主机平安。
“猎刃打算”挑战赛共分四期,较量贯通全年,主题围绕主机和容器面临的次要平安场景,如 webshell 绕过、入侵检测等。年底总排名靠前的选手,将有机会赢取年度万元大奖、取得 TSRC 年度表彰证书,并特邀加入 TSRC 年初盛典。
第一期|WebShell 攻防之「猎手归来」
早于 2020 年 5 月,咱们即举办过洋葱 WebShell 平安众测。现在战火再燃,猎手归来!
此次咱们首次对外公开全新自研的 WebShell 攻打检测“双引擎”——TAV 反病毒引擎 + 洋葱恶意代码检测引擎,诚邀大家测试反抗。
为不便大家测试,防止因环境不统一导致的歧义,本次众测提供一个 PHP7 版本的 docker 镜像环境,供大家验证 WebShell 的有效性。WebShell 绕过检测引擎,且在提供的测试 Docker 镜像中失常应用,就可通过 TSRC 平台进行提交。
都说 PHP 是世界上最好的语言,这次让咱们从 PHP WebShell 开始!
一、第一期|众测工夫
2022 年 3 月 22 日 10 时 - 3 月 31 日 18 时
二、处分机制
第一期处分
1、提交合乎评分标准和规定的 WebShell 样本处分 200 平安币(1000 元);
2、较量完结,当期榜单 TOP3 将取得额定处分:
奖项奖品
当期冠军京东卡 3,000 元
当期亚军京东卡 2,000 元
当期季军京东卡 1,000 元
注:按一期较量中所获的平安币多少排名;若平安币并列,则按第一个文件的提交先后顺序,先提交>后提交
全年处分
奖项奖品
总榜冠军 10,000 元奖金
总榜亚军 8,000 元奖金
总榜季军 6,000 元奖金
注:按“猎刃打算”全年所获的平安币多少排名;若平安币并列,则按第一个文件的提交先后顺序,先提交>后提交
三、挑战环境
1、搭建的检测引擎环境地址:http://175.178.188.150/ (公测开始时凋谢)。
参赛者能够在该地址提交 PHP 文件进行绕过测试。
2、PHP7 docker 镜像:
下载地址:
https://share.weiyun.com/8AKv… 或 https://hub.docker.com/r/alex…
(docker 镜像应用形式参考“常见问题 FAQ”)。
官网提供对立验证环境镜像,参赛者提交的 WebShell 必须在默认验证环境下能稳固运行。
四、WebShell 评判规范
1、WebShell 指内部能传参管制(如通过 GET/POST/HTTP Header 头等形式) 执行任意代码或命令,比方 eval($_GET[1]);。在文件写固定指令不算 Shell,被认定为有效,如 <?php system(‘whoami’);
2、绕过检测引擎的 WebShell 样本,须要同时提供残缺无效的 curl 利用形式,如:curl‘http://127.0.0.1/webshell.php…(“whoami”)’;。curl 利用形式能够在提供的 docker 镜像中进行编写测试,地址能够是容器 IP 或者 127.0.0.1,文件名任意,以执行 whoami 作为命令示例。
3、WebShell 必须具备通用性,审核时会拉取提交的 webshell 内容,选取一个和验证镜像雷同的环境进行验证,如果不能失常运行,则认为有效。
4、审核验证 payload 有效性时,WebShell 文件名会随机化,不能一次性执行胜利和稳固触发的,被认定为有效。
五、规定要求
1、以绕过产品侧的检测点为规范,只有绕过检测点的原理雷同即视为同一种绕过形式
2、雷同姿态的绕过形式,以最先提交的参赛者为准,先提交的取得处分,后提交的视为有效
3、文件大小不超过 3M
4、所有绕过代码须要在繁多文件内,不能够利用多文件形式绕过,且绕过样本须要可能在默认的 php.ini 配置下运行
5、为了更实在的反抗,检测引擎会定期进行更新保护
6、不可与其余测试选手共享思路,较量期间不得擅自公开绕过技巧和办法
7、禁止长时间影响零碎性能暴力发包扫描测试
8、大赛主办方有权批改包含规定等所有事项
p
1、请将合乎评分标准和规定的报告提交到 TSRC(https://security.tencent.com/…);题目以“[猎刃打算]”结尾,先到先得。
2、提交 TSRC 内容:
webshell 样本 + curl 命令执行胜利的 payload + 胜利截图 + 绕过思路简要介绍
注:
payload 中的地址能够是容器 IP 或者 127.0.0.1,文件名任意,以执行 whoami 作为命令示例,如:
curl‘http://127.0.0.1/webshell.php…(“whoami”)’;。curl 利用形式能够在提供的 docker 镜像中进行编写测试。
七、常见问题 FAQ
1、检测引擎检测后果阐明:
1)查杀:上传文件被平安引擎判断为歹意文件。
2)未查杀:上传文件被平安引擎判断为失常文件
3)文件异样、扫描异样:检测服务器存在异样,请从新上传文件,如继续异样,请分割 TSRC 解决。
2、docker 镜像应用阐明:
1)若通过腾讯微云地址下载镜像文件 nginx-php7.4.28.tar,镜像加载应用命令如下:
加载镜像: docker load < nginx-php7.4.28.tar
运行容器: docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 —name php-test -d nginx-php7.4.28:latest
注:容器 web 端口和目录映射到主机 80 端口和 tmp 目录下,可在主机 tmp 目录上传 webshell 进行验证
2)若通过 dockerhub 下载,进行加载应用命令如下:
加载镜像: docker pull alexlong/nginx-php7.4.28:latest
运行容器: docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 —name php-test -d alexlong/nginx-php7.4.28:latest
注:容器 web 端口和目录映射到主机 80 端口和 tmp 目录下,可在主机 tmp 目录上传 webshell 进行验证
3、欢送退出较量 QQ 群,任何答疑可征询管理员。