关于网络安全:腾讯主机安全猎刃计划正式发布WebShell挑战赛烽火再燃

未知攻，焉知防。
云环境下，爆破攻打、破绽攻打、Web入侵、病毒木马等安全事件频发。腾讯T-Sec主机平安作为云上最初一道防线，基于腾讯平安积攒的海量威逼数据，利用机器学习，为客户提供全面检测和修复计划，守卫云上主机平安，并取得Gartner、Frost & Sullivan、赛可达实验室等多家机构权威认证。
为进一步晋升平安性能，T-Sec主机平安团队联结腾讯平安云鼎实验室、腾讯平安反病毒实验室、腾讯平安科恩实验室、腾讯平安应急响应核心（TSRC）等，正式推出“猎刃打算”系列挑战赛，诚征各位平安猎手云上反抗，共同提高主机平安。
“猎刃打算”挑战赛共分四期，较量贯通全年，主题围绕主机和容器面临的次要平安场景，如webshell绕过、入侵检测等。年底总排名靠前的选手，将有机会赢取年度万元大奖、取得TSRC年度表彰证书，并特邀加入TSRC年初盛典。

第一期｜WebShell攻防之 「猎手归来」
早于2020年5月，咱们即举办过洋葱WebShell平安众测。现在战火再燃，猎手归来！
此次咱们首次对外公开全新自研的WebShell攻打检测“双引擎”——TAV反病毒引擎+洋葱恶意代码检测引擎，诚邀大家测试反抗。
为不便大家测试，防止因环境不统一导致的歧义，本次众测提供一个PHP7版本的docker镜像环境，供大家验证WebShell的有效性。WebShell绕过检测引擎，且在提供的测试Docker镜像中失常应用，就可通过TSRC平台进行提交。
都说PHP是世界上最好的语言，这次让咱们从PHP WebShell开始！
一、第一期｜众测工夫
2022年3月22日10时-3月31日18时
二、处分机制
第一期处分
1、提交合乎评分标准和规定的WebShell样本处分200平安币（1000元）；
2、较量完结，当期榜单TOP3将取得额定处分：
奖项奖品
当期冠军京东卡3,000元
当期亚军京东卡2,000元
当期季军京东卡1,000元
注：按一期较量中所获的平安币多少排名；若平安币并列，则按第一个文件的提交先后顺序，先提交＞后提交
全年处分
奖项奖品
总榜冠军10,000元奖金
总榜亚军8,000元奖金
总榜季军6,000元奖金
注：按“猎刃打算”全年所获的平安币多少排名；若平安币并列，则按第一个文件的提交先后顺序，先提交＞后提交
三、挑战环境
1、搭建的检测引擎环境地址:http://175.178.188.150/ (公测开始时凋谢)。
参赛者能够在该地址提交PHP文件进行绕过测试。
2、PHP7 docker镜像：
下载地址：
https://share.weiyun.com/8AKv... 或 https://hub.docker.com/r/alex...
(docker镜像应用形式参考“常见问题FAQ”)。
官网提供对立验证环境镜像，参赛者提交的WebShell必须在默认验证环境下能稳固运行。
四、WebShell评判规范
1、WebShell指内部能传参管制(如通过GET/POST/HTTP Header头等形式)执行任意代码或命令，比方eval($_GET[1]);。在文件写固定指令不算Shell，被认定为有效，如<?php system(‘whoami’);
2、绕过检测引擎的WebShell样本，须要同时提供残缺无效的curl利用形式，如：curl ‘http://127.0.0.1/webshell.php...("whoami")';。curl利用形式能够在提供的docker镜像中进行编写测试，地址能够是容器IP或者127.0.0.1，文件名任意，以执行whoami作为命令示例。
3、WebShell必须具备通用性，审核时会拉取提交的webshell内容，选取一个和验证镜像雷同的环境进行验证，如果不能失常运行，则认为有效。
4、审核验证payload有效性时，WebShell文件名会随机化，不能一次性执行胜利和稳固触发的，被认定为有效。
五、规定要求
1、以绕过产品侧的检测点为规范，只有绕过检测点的原理雷同即视为同一种绕过形式
2、雷同姿态的绕过形式，以最先提交的参赛者为准，先提交的取得处分，后提交的视为有效
3、文件大小不超过3M
4、所有绕过代码须要在繁多文件内，不能够利用多文件形式绕过，且绕过样本须要可能在默认的php.ini配置下运行
5、为了更实在的反抗，检测引擎会定期进行更新保护
6、不可与其余测试选手共享思路，较量期间不得擅自公开绕过技巧和办法
7、禁止长时间影响零碎性能暴力发包扫描测试
8、大赛主办方有权批改包含规定等所有事项
p
1、请将合乎评分标准和规定的报告提交到TSRC(https://security.tencent.com/...)；题目以“[猎刃打算]”结尾，先到先得。
2、提交TSRC内容：
webshell样本 + curl命令执行胜利的payload + 胜利截图 + 绕过思路简要介绍
注：
payload中的地址能够是容器IP或者127.0.0.1，文件名任意，以执行whoami作为命令示例，如：
curl ‘http://127.0.0.1/webshell.php...("whoami")';。curl利用形式能够在提供的docker镜像中进行编写测试。
七、常见问题FAQ
1、 检测引擎检测后果阐明：
1） 查杀：上传文件被平安引擎判断为歹意文件。
2） 未查杀：上传文件被平安引擎判断为失常文件
3） 文件异样、扫描异样：检测服务器存在异样，请从新上传文件，如继续异样，请分割TSRC解决。
2、 docker镜像应用阐明：
1）若通过腾讯微云地址下载镜像文件 nginx-php7.4.28.tar，镜像加载应用命令如下：
加载镜像: docker load < nginx-php7.4.28.tar
运行容器: docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 —name php-test -d nginx-php7.4.28:latest
注：容器web端口和目录映射到主机80端口和tmp目录下，可在主机tmp目录上传webshell进行验证
2）若通过dockerhub下载，进行加载应用命令如下：
加载镜像: docker pull alexlong/nginx-php7.4.28:latest
运行容器: docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 —name php-test -d alexlong/nginx-php7.4.28:latest
注：容器web端口和目录映射到主机80端口和tmp目录下，可在主机tmp目录上传webshell进行验证
3、 欢送退出较量QQ群，任何答疑可征询管理员。