未知攻,焉知防。

云环境下,爆破攻击、漏洞攻击、Web入侵、病毒木马等安全事件频发。

腾讯T-Sec主机安全作为云上最后一道防线,基于腾讯安全积累的海量威胁数据,利用机器学习,为客户提供全面检测和修复方案,守卫云上主机安全,并获得Gartner、Frost & Sullivan、赛可达实验室等多家机构权威认证。

为进一步提升安全性能,T-Sec主机安全团队联合腾讯安全云鼎实验室、腾讯安全反病毒实验室、腾讯安全科恩实验室、腾讯安全应急响应中心(TSRC)等,正式推出“猎刃计划”系列挑战赛,诚征各位安全猎手云上对抗,共同提高主机安全。

“猎刃计划”挑战赛共分四期,比赛贯穿全年,主题围绕主机和容器面临的主要安全场景,如webshell绕过、入侵检测等。

年底总排名靠前的选手,将有机会赢取年度万元大奖、获得TSRC年度表彰证书,并特邀参加TSRC年终盛典。

Vol. 1

第一期|WebShell攻防之「猎手归来」 

早于2020年5月,我们即举办过洋葱WebShell安全众测。如今烽火再燃,猎手归来!

此次我们首次对外公开全新自研的WebShell攻击检测“双引擎”——TAV反病毒引擎+洋葱恶意代码检测引擎,诚邀大家测试对抗。

为方便大家测试,避免因环境不一致导致的歧义,本次众测提供一个PHP7版本的docker镜像环境,供大家验证WebShell的有效性。WebShell绕过检测引擎,且在提供的测试Docker镜像中正常使用,就可通过TSRC平台进行提交。

都说PHP是世界上最好的语言,这次让我们从PHP WebShell开始!

1. 众测时间

2022年3月22日10时-3月31日18时

2. 奖励机制

第一期奖励 ⬇️

1)提交符合评分标准和规则的WebShell样本,奖励200安全币(1000元);

2)比赛结束,当期榜单TOP3将获得额外奖励:

序号

奖项

奖品

1

当期冠军

3,000元京东卡

2

当期亚军

2,000元京东卡

3

当期季军

1,000元京东卡

注:按一期比赛中所获的安全币多少排名;若安全币并列,则按第一个文件的提交先后顺序,先提交>后提交

全年奖励 ⬇️

序号

奖项

奖品

1

总榜冠军

10,000元奖金

2

总榜亚军

8,000元奖金

3

总榜季军

6,000元奖金

注:按“猎刃计划”全年所获的安全币多少排名;若安全币并列,则按第一个文件的提交先后顺序,先提交>后提交

3. 挑战环境

1)搭建的检测引擎环境地址:

http://175.178.188.150/ (公测开始时开放)。

参赛者可以在该地址提交PHP文件进行绕过测试。

2)PHP7 docker镜像:

下载地址:

https://share.weiyun.com/8AKvksEn 或

https://hub.docker.com/r/alexlong/nginx-php7.4.28

(docker镜像使用方式参考“常见问题FAQ”)。

官方提供统一验证环境镜像,参赛者提交的WebShell必须在默认验证环境下能稳定运行。

4. WebShell评判标准

1)WebShell指外部能传参控制(如通过GET/POST/HTTP Header头等方式)执行任意代码或命令,比如eval($_GET[1]);。在文件写固定指令不算Shell,被认定为无效,如

2)绕过检测引擎的WebShell样本,需要同时提供完整有效的curl利用方式,如:curl 'http://127.0.0.1/webshell.php?1=system("whoami")';。curl利用方式可以在提供的docker镜像中进行编写测试,地址可以是容器IP或者127.0.0.1,文件名任意,以执行whoami作为命令示例。

3)WebShell必须具备通用性,审核时会拉取提交的Webshell内容,选取一个和验证镜像相同的环境进行验证,如果不能正常运行,则认为无效。

4)审核验证payload有效性时,WebShell文件名会随机化,不能一次性执行成功和稳定触发的,被认定为无效。

5. 规则要求

1)以绕过产品侧的检测点为标准,只要绕过检测点的原理相同即视为同一种绕过方式;

2)相同姿势的绕过方式,以最先提交的参赛者为准,先提交的获得奖励,后提交的视为无效;

3)文件大小不超过3M;

4)所有绕过代码需要在单一文件内,不可以利用多文件方式绕过,且绕过样本需要能够在默认的php.ini配置下运行;

5)为了更真实的对抗,检测引擎会定期进行更新维护;

6)不可与其他测试选手共享思路,比赛期间不得私自公开绕过技巧和方法;

7)禁止长时间影响系统性能暴力发包扫描测试;

8)大赛主办方有权修改包括规则等一切事项。

6. 提交方式

1)请将符合评分标准和规则的报告提交到TSRC

(https://security.tencent.com/index.php/report/add);标题以“[猎刃计划]”开头,先到先得;

2)提交TSRC内容:

webshell样本 + curl命令执行成功的payload + 成功截图 + 绕过思路简要介绍

注:

payload中的地址可以是容器IP或者127.0.0.1,文件名任意,以执行whoami作为命令示例,

如:

curl 'http://127.0.0.1/webshell.php?1=system("whoami")';。curl利用方式可以在提供的docker镜像中进行编写测试。

7. 常见问题FAQ

1)检测引擎检测结果说明:

查杀:上传文件被安全引擎判断为恶意文件。

未查杀:上传文件被安全引擎判断为正常文件

文件异常、扫描异常:检测服务器存在异常,请重新上传文件,如持续异常,请联系TSRC处理。

2)docker镜像使用说明:

①若通过腾讯微云地址下载镜像文件 nginx-php7.4.28.tar,镜像加载使用命令如下:

加载镜像:

docker load < nginx-php7.4.28.tar

运行容器:

docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 --name php-test -d nginx-php7.4.28:latest

注:容器web端口和目录映射到主机80端口和tmp目录下,可在主机tmp目录上传webshell进行验证

②若通过dockerhub下载,进行加载使用命令如下:

加载镜像:

docker pull alexlong/nginx-php7.4.28:latest

运行容器:

docker run -it -v /tmp/:/usr/share/nginx/html/ -p 80:80 --name php-test -d alexlong/nginx-php7.4.28:latest

注:容器web端口和目录映射到主机80端口和tmp目录下,可在主机tmp目录上传webshell进行验证

腾讯主机安全“猎刃计划”发布,WebShell挑战赛再燃起,PHPer燥起来相关推荐

  1. 讯飞超脑2030计划开启 持续引领人工智能未来发展

    1月29日,科大讯飞"初心如磐 青春绽放"2022云年会在总部合肥举办.会上,科大讯飞创始人.董事长刘庆峰发表主题演讲,对科大讯飞2021的成绩进行总结,围绕2022年企业发展重点 ...

  2. 腾讯智维生态发展计划图扑软件正式加入,共同聚焦智能 IDC

    4 月 23 日,主题为<智汇科技,维新至善>的腾讯数据中心智维技术研讨会在深圳胜利召开,发布了腾讯智维 2.0 技术体系,深度揭秘了智维 2.0 新产品战略和技术规划.图扑软件(High ...

  3. 图扑软件正式加入腾讯智维生态发展计划,智能 IDC 开启数字经济新征程

    4 月 23 日,主题为<智汇科技,维新至善>的腾讯数据中心智维技术研讨会在深圳胜利召开,发布了腾讯智维 2.0 技术体系,深度揭秘了智维 2.0 新产品战略和技术规划.图扑软件(High ...

  4. 腾讯主机安全(云镜)兵器库:透视安全事件的千里眼-云原生预警系统

    之前我们讲到可以用"疫情防控思路来解决网络安全问题",提到针对网络攻击的"攻击源.传播途径.易感系统"等三个环节,分别采取相应措施,可最终解决安全风险.对网络威 ...

  5. 百度AI全面开放EasyDL开启AI普及化时代;讯飞翻译机2.0发布:支持34种语言;华为开发能读懂人类情绪的AI技术

    百度AI全面开放EasyDL开启AI普及化时代,"小白"也能用AI 百度"燎原计划2018"暨百度AI开发者实战营第二季强势回归,首站北京即放送三大满足各类开发 ...

  6. 惟客数据荣获腾讯智慧零售“千域计划年度认证优秀合作伙伴”称号

    近日,腾讯智慧零售发布了2021腾讯智慧零售千域计划年度认证合作伙伴榜单.经过评审专家一年时间的层层严格评估筛选,在近700家加入千域计划的合作伙伴中,评选出49家作为千域计划年度认证合作伙伴. 惟客 ...

  7. 医工智能 创享未来—— “医工科研数据平台”与“医工结合科研创新支持计划”发布!...

    2018年11月14日,由清华大学软件学院.临床医学院.数据科学研究院.交叉信息研究院以及北京清华长庚医院共同建设的"医工科研数据平台"于清华大学主楼会议室举办了发布仪式.此次发布 ...

  8. 藏经阁计划发布一年,阿里知识引擎有哪些技术突破?

    来源:阿里技术 摘要:2018年4月阿里巴巴业务平台事业部--知识图谱团队联合清华大学.浙江大学.中科院自动化所.中科院软件所.苏州大学等五家机构,联合发布藏经阁(知识引擎)研究计划.藏经阁计划依赖阿 ...

  9. 每年考研计算机专硕和学硕报比例,各院校研招计划发布 专硕与学硕比例调整...

    离2013研究生考试还有3个多月,考试已进入倒计时阶段.据悉,研究生网上报名将于10月上旬开始,今年很多高校的专业硕士比例进一步提高,而学术硕士比例则稳中有降,但因为学费等原因,很多考生依然钟情学术硕 ...

最新文章

  1. 关于Unity中场景的导入与导出(专题九)
  2. 王宏计算机系,王宏健(副教授)
  3. 城市规划Java_智慧城市通过边缘计算转向高层次的城市规划
  4. (只需挨个复制粘贴命令即可部署)在Centos7下搭建文件服务器(VSFTPD)
  5. Dubbo核心知识点
  6. matlab优化设计大作业答案,优化设计有哪些方法(2019优化设计答案大全)
  7. Swift学习笔记十二
  8. 如何看公司的财务数据
  9. Collection与Arrays
  10. 虚拟蜜罐-honeyd安装部署
  11. 遗传算法及其应用_遗传算法及其广泛应用
  12. Matlab批量修改文件格式
  13. python爬虫——GET请求百度关键词搜索案例
  14. zcmu-1957: 乌鸦坐飞机
  15. 【Web技术】网站留言系统开发,及留言信息实时发送至指定邮箱
  16. oracle both from,Oracle trim函数的使用
  17. 怎么找外贸客户之海关数据
  18. python做游戏用什么库_Python库之游戏开发及虚拟现实
  19. 鸡兔同笼,兔子和鸡一共48只,有108只脚 兔子和鸡各有多少只?
  20. [MySQL] 日志刷盘机制

热门文章

  1. 中国体育场馆行业运营管理现状及十四五模式分析报告2022版
  2. MySQL 2019最全的国家地区代码、手机号正则验证,覆盖191个国家和地区
  3. 使用FreeType实现矢量字体的粗体、斜体、描边、阴影效果
  4. FPGA进阶(2):基于I2C协议的EEPROM驱动控制
  5. 证明四元数表示旋转的过程实部为0,虚部为罗德里格斯公式结果
  6. Socket在iOS客户端上的简单实现 - 利用GCAsyncSocket框架
  7. python实现下载任意网站所有图片
  8. Apple M1 Sourcetree 卡 卡顿 卡死
  9. 测试开发知识总结------持续更新
  10. SQL:开窗函数(窗口函数)