未知攻,焉知防。
雲環境下,爆破攻擊、漏洞攻擊、Web入侵、病毒木馬等安全事件頻發。
騰訊T-Sec主機安全作爲雲上最後一道防線,基於騰訊安全積累的海量威脅數據,利用機器學習,爲客戶提供全面檢測和修復方案,守衛雲上主機安全,並獲得Gartner、Frost & Sullivan、賽可達實驗室等多家機構權威認證。
爲進一步提升安全性能,T-Sec主機安全團隊聯合騰訊安全雲鼎實驗室、騰訊安全反病毒實驗室、騰訊安全科恩實驗室、騰訊安全應急響應中心(TSRC)等,正式推出“獵刃計劃”系列挑戰賽,誠徵各位安全獵手雲上對抗,共同提高主機安全。
“獵刃計劃”挑戰賽共分四期,比賽貫穿全年,主題圍繞主機和容器面臨的主要安全場景,如webshell繞過、入侵檢測等。
年底總排名靠前的選手,將有機會贏取年度萬元大獎、獲得TSRC年度表彰證書,並特邀參加TSRC年終盛典。
Vol. 1
第一期|WebShell攻防之「獵手歸來」
早於2020年5月,我們即舉辦過洋蔥WebShell安全衆測。如今烽火再燃,獵手歸來!
此次我們首次對外公開全新自研的WebShell攻擊檢測“雙引擎”——TAV反病毒引擎+洋蔥惡意代碼檢測引擎,誠邀大家測試對抗。
爲方便大家測試,避免因環境不一致導致的歧義,本次衆測提供一個PHP7版本的docker鏡像環境,供大家驗證WebShell的有效性。WebShell繞過檢測引擎,且在提供的測試Docker鏡像中正常使用,就可通過TSRC平臺進行提交。
都說PHP是世界上最好的語言,這次讓我們從PHP WebShell開始!
1. 衆測時間
2022年3月22日10時-3月31日18時
2. 獎勵機制
第一期獎勵
1)提交符合評分標準和規則的WebShell樣本,獎勵200安全幣(1000元);
2)比賽結束,當期榜單TOP3將獲得額外獎勵:
|
序號 |
獎項 |
獎品 |
|---|---|---|
|
1 |
當期冠軍 |
3,000元京東卡 |
|
2 |
當期亞軍 |
2,000元京東卡 |
|
3 |
當期季軍 |
1,000元京東卡 |
注:按一期比賽中所獲的安全幣多少排名;若安全幣並列,則按第一個文件的提交先後順序,先提交>後提交
全年獎勵
|
序號 |
獎項 |
獎品 |
|---|---|---|
|
1 |
總榜冠軍 |
10,000元獎金 |
|
2 |
總榜亞軍 |
8,000元獎金 |
|
3 |
總榜季軍 |
6,000元獎金 |
注:按“獵刃計劃”全年所獲的安全幣多少排名;若安全幣並列,則按第一個文件的提交先後順序,先提交>後提交
3. 挑戰環境
1)搭建的檢測引擎環境地址:
http://175.178.188.150/ (公測開始時開放)。
參賽者可以在該地址提交PHP文件進行繞過測試。
2)PHP7 docker鏡像:
下載地址:
https://share.weiyun.com/8AKvksEn 或
https://hub.docker.com/r/alexlong/nginx-php7.4.28
(docker鏡像使用方式參考“常見問題FAQ”)。
官方提供統一驗證環境鏡像,參賽者提交的WebShell必須在默認驗證環境下能穩定運行。
4. WebShell評判標準
1)WebShell指外部能傳參控制(如通過GET/POST/HTTP Header頭等方式)執行任意代碼或命令,比如eval($_GET[1]);。在文件寫固定指令不算Shell,被認定爲無效,如
2)繞過檢測引擎的WebShell樣本,需要同時提供完整有效的curl利用方式,如:curl 'http://127.0.0.1/webshell.php?1=system("whoami")';。curl利用方式可以在提供的docker鏡像中進行編寫測試,地址可以是容器IP或者127.0.0.1,文件名任意,以執行whoami作爲命令示例。
3)WebShell必須具備通用性,審覈時會拉取提交的Webshell內容,選取一個和驗證鏡像相同的環境進行驗證,如果不能正常運行,則認爲無效。
4)審覈驗證payload有效性時,WebShell文件名會隨機化,不能一次性執行成功和穩定觸發的,被認定爲無效。
5. 規則要求
1)以繞過產品側的檢測點爲標準,只要繞過檢測點的原理相同即視爲同一種繞過方式;
2)相同姿勢的繞過方式,以最先提交的參賽者爲準,先提交的獲得獎勵,後提交的視爲無效;
3)文件大小不超過3M;
4)所有繞過代碼需要在單一文件內,不可以利用多文件方式繞過,且繞過樣本需要能夠在默認的php.ini配置下運行;
5)爲了更真實的對抗,檢測引擎會定期進行更新維護;
6)不可與其他測試選手共享思路,比賽期間不得私自公開繞過技巧和方法;
7)禁止長時間影響系統性能暴力發包掃描測試;
8)大賽主辦方有權修改包括規則等一切事項。
6. 提交方式
1)請將符合評分標準和規則的報告提交到TSRC
(https://security.tencent.com/index.php/report/add);標題以“[獵刃計劃]”開頭,先到先得;
2)提交TSRC內容:
webshell樣本 + curl命令執行成功的payload + 成功截圖 + 繞過思路簡要介紹
注:
payload中的地址可以是容器IP或者127.0.0.1,文件名任意,以執行whoami作爲命令示例,
如:
curl 'http://127.0.0.1/webshell.php?1=system("whoami")';。curl利用方式可以在提供的docker鏡像中進行編寫測試。
7. 常見問題FAQ
1)檢測引擎檢測結果說明:
查殺:上傳文件被安全引擎判斷爲惡意文件。
未查殺:上傳文件被安全引擎判斷爲正常文件
文件異常、掃描異常:檢測服務器存在異常,請重新上傳文件,如持續異常,請聯繫TSRC處理。
2)docker鏡像使用說明:
若通過騰訊微雲地址下載鏡像文件 nginx-php7.4.28.tar,鏡像加載使用命令如下:
加載鏡像:
docker load < nginx-php7.4.28.tar
運行容器:
docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 --name php-test -d nginx-php7.4.28:latest
注:容器web端口和目錄映射到主機80端口和tmp目錄下,可在主機tmp目錄上傳webshell進行驗證
若通過dockerhub下載,進行加載使用命令如下:
加載鏡像:
docker pull alexlong/nginx-php7.4.28:latest
運行容器:
docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 --name php-test -d alexlong/nginx-php7.4.28:latest
注:容器web端口和目錄映射到主機80端口和tmp目錄下,可在主機tmp目錄上傳webshell進行驗證