騰訊主機安全“獵刃計劃”正式釋出!WebShell挑戰賽再燃起,PHPer燥起來!

騰訊安全發表於2022-03-22
WebshellPHP

未知攻,焉知防。


雲環境下,爆破攻擊、漏洞攻擊、Web入侵、病毒木馬等安全事件頻發。


騰訊T-Sec主機安全作為雲上最後一道防線,基於騰訊安全積累的海量威脅資料,利用機器學習,為客戶提供全面檢測和修復方案,守衛雲上主機安全,並獲得Gartner、Frost & Sullivan、賽可達實驗室等多家機構權威認證。


為進一步提升安全效能,T-Sec主機安全團隊聯合騰訊安全雲鼎實驗室、騰訊安全反病毒實驗室、騰訊安全科恩實驗室、騰訊安全應急響應中心(TSRC)等,正式推出“獵刃計劃”系列挑戰賽,誠徵各位安全獵手雲上對抗,共同提高主機安全。


“獵刃計劃”挑戰賽共分四期,比賽貫穿全年,主題圍繞主機和容器面臨的主要安全場景,如webshell繞過、入侵檢測等。


年底總排名靠前的選手,將有機會贏取年度萬元大獎、獲得TSRC年度表彰證照,並特邀參加TSRC年終盛典。

騰訊主機安全“獵刃計劃”正式釋出!WebShell挑戰賽再燃起,PHPer燥起來!

Vol. 1

第一期|WebShell攻防之「獵手歸來」 


早於2020年5月,我們即舉辦過洋蔥WebShell安全眾測。如今烽火再燃,獵手歸來!


此次我們首次對外公開全新自研的WebShell攻擊檢測“雙引擎”——TAV反病毒引擎+洋蔥惡意程式碼檢測引擎,誠邀大家測試對抗。


為方便大家測試,避免因環境不一致導致的歧義,本次眾測提供一個PHP7版本的docker映象環境,供大家驗證WebShell的有效性。WebShell繞過檢測引擎,且在提供的測試Docker映象中正常使用,就可透過TSRC平臺進行提交。


都說PHP是世界上最好的語言,這次讓我們從PHP WebShell開始!


1. 眾測時間


2022年3月22日10時-3月31日18時


2. 獎勵機制


第一期獎勵 


1)提交符合評分標準和規則的WebShell樣本,獎勵200安全幣(1000元);


2)比賽結束,當期榜單TOP3將獲得額外獎勵:


序號

獎項

獎品

1

當期冠軍

3,000元京東卡

2

當期亞軍

2,000元京東卡

3

當期季軍

1,000元京東卡

注:按一期比賽中所獲的安全幣多少排名;若安全幣並列,則按第一個檔案的提交先後順序,先提交>後提交


全年獎勵 


序號

獎項

獎品

1

總榜冠軍

10,000元獎金

2

總榜亞軍

8,000元獎金

3

總榜季軍

6,000元獎金

注:按“獵刃計劃”全年所獲的安全幣多少排名;若安全幣並列,則按第一個檔案的提交先後順序,先提交>後提交


3. 挑戰環境


1)搭建的檢測引擎環境地址:


http://175.178.188.150/ (公測開始時開放)。

參賽者可以在該地址提交PHP檔案進行繞過測試。


2)PHP7 docker映象:


下載地址:

https://share.weiyun.com/8AKvksEn 或

https://hub.docker.com/r/alexlong/nginx-php7.4.28

(docker映象使用方式參考“常見問題FAQ”)。


官方提供統一驗證環境映象,參賽者提交的WebShell必須在預設驗證環境下能穩定執行。


4. WebShell評判標準


1)WebShell指外部能傳參控制(如透過GET/POST/HTTP Header頭等方式)執行任意程式碼或命令,比如eval($_GET[1]);。在檔案寫固定指令不算Shell,被認定為無效,如


2)繞過檢測引擎的WebShell樣本,需要同時提供完整有效的curl利用方式,如:curl 'http://127.0.0.1/webshell.php?1=system("whoami")';curl利用方式可以在提供的docker映象中進行編寫測試,地址可以是容器IP或者127.0.0.1,檔名任意,以執行whoami作為命令示例。


3)WebShell必須具備通用性,稽核時會拉取提交的Webshell內容,選取一個和驗證映象相同的環境進行驗證,如果不能正常執行,則認為無效。


4)稽核驗證payload有效性時,WebShell檔名會隨機化,不能一次性執行成功和穩定觸發的,被認定為無效。


5. 規則要求


1)以繞過產品側的檢測點為標準,只要繞過檢測點的原理相同即視為同一種繞過方式;


2)相同姿勢的繞過方式,以最先提交的參賽者為準,先提交的獲得獎勵,後提交的視為無效;


3)檔案大小不超過3M;


4)所有繞過程式碼需要在單一檔案內,不可以利用多檔案方式繞過,且繞過樣本需要能夠在預設的php.ini配置下執行;


5)為了更真實的對抗,檢測引擎會定期進行更新維護;


6)不可與其他測試選手共享思路,比賽期間不得私自公開繞過技巧和方法;


7)禁止長時間影響系統效能暴力發包掃描測試;


8)大賽主辦方有權修改包括規則等一切事項。


6. 提交方式


1)請將符合評分標準和規則的報告提交到TSRC

(https://security.tencent.com/index.php/report/add)標題以“[獵刃計劃]”開頭,先到先得;


2)提交TSRC內容:

webshell樣本 + curl命令執行成功的payload + 成功截圖 + 繞過思路簡要介紹


注:

payload中的地址可以是容器IP或者127.0.0.1,檔名任意,以執行whoami作為命令示例,


如:

curl 'http://127.0.0.1/webshell.php?1=system("whoami")';。curl利用方式可以在提供的docker映象中進行編寫測試。


7. 常見問題FAQ


1)檢測引擎檢測結果說明:

查殺:上傳檔案被安全引擎判斷為惡意檔案。


未查殺:上傳檔案被安全引擎判斷為正常檔案


檔案異常、掃描異常:檢測伺服器存在異常,請重新上傳檔案,如持續異常,請聯絡TSRC處理。


2)docker映象使用說明:

若透過騰訊微雲地址下載映象檔案 nginx-php7.4.28.tar,映象載入使用命令如下:


載入映象:

docker load < nginx-php7.4.28.tar


執行容器: 

docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 --name php-test -d nginx-php7.4.28:latest


注:容器web埠和目錄對映到主機80埠和tmp目錄下,可在主機tmp目錄上傳webshell進行驗證


若透過dockerhub下載,進行載入使用命令如下:


載入映象: 

docker pull alexlong/nginx-php7.4.28:latest


執行容器:

docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 --name php-test -d alexlong/nginx-php7.4.28:latest


注:容器web埠和目錄對映到主機80埠和tmp目錄下,可在主機tmp目錄上傳webshell進行驗證


相關文章