全军出击:洋葱WebShell安全众测即将启动!
常见的WebShell文件检测方式主要有:WebShell动态行为检测和静态检测。WebShell动态行为检测虽然检测能力比较强,但是存在侵入性部署问题,导致难以大规模部署使用。WebShell静态检测主要有基于正则或yara的特征检测、基于熵等的文件统计特性检测、基于机器学习算法的分类检测等,其中PHP语言变形方式多、编写灵活,存在各种各样的WebShell变形,导致静态检测方式都存在不足之处,在误报率和漏报率方面难以平衡,不足以解决WebShell的安全风险。
腾讯安全平台部洋葱团队自研的WebShell恶意代码检测引擎,将静态检测和动态检测进行结合,可以有效解决WebShell安全风险 。为帮助我们进一步完善引擎,我们诚邀各位业界同仁测试对抗,搭建了部署有WebShell检测引擎的测试环境,并将于5月11日开始正式进行为期9天的众测。欢迎各位业界同仁测试拍砖。
为了方便大家测试和因环境不一致导致的歧义,本次众测会提供一个PHP7版本的docker镜像环境供大家本次测试验证WebShell有效性。WebShell绕过洋葱检测引擎,且能够在提供的测试Docker镜像中正常使用,就可通过TSRC平台进行提交。
以下为众测详情
↓↓↓
01.众测时间
2020年5月11日9时-5月19日24时
02.挑战环境
1.搭建的检测引擎环境地址:待公布。
参赛者可以在该地址提交PHP文件进行绕过测试。
2.PHP7 docker镜像,下载地址:待公布。
官方提供统一验证环境镜像,参赛者提交的WebShell必须在默认验证环境下能稳定运行。
03.WebSehll评判标准
1.WebShell指外部能传参控制(如通过GET/POST/HTTP Header头等方式)执行任意代码或命令,比如eval($_GET[1]);。在文件写固定指令不算Shell,被认定为无效,如<?php
system('whoami');
2.绕过检测引擎的WebShell样本,需要同时提供完整有效的curl利用方式进行验证,如:curl 'http://127.0.0.1/webshell.php?1=system("whoami")';
3.WebShell必须具备通用性,审核时会拉取提交的webshell内容,选取一个和验证镜像相同的环境进行验证,如果不能正常运行,则认为无效。
4.审核验证payload有效性时,不能一次性执行成功和稳定触发的,被认定为无效。
04.奖励机制
提交符合评分标准和规则的WebShell样本奖励200安全币(1000元)
05.规则要求
1.文件大小不超过1M。
2.相同姿势的绕过方式,以最先提交的参赛者为准,先提交的获得奖励,后提交的视为无效。
3.禁止长时间影响系统性能暴力发包扫描测试
4.不可与其他测试选手共享思路,比赛期间不得私自公开绕过技巧和方法
5.为了更真实的对抗,检测引擎会定期进行更新维护。
06.提交方式
1.请将符合评分标准和规则的报告提交到TSRC(https://security.tencent.com/index.php/report/add);标题以“[洋葱WebShell挑战赛]”开头,先到先得。
2.提交TSRC内容:
webshell样本 + curl命令执行成功的payload + 成功截图 + 绕过思路简要介绍
注:
payload中的地址可以是容器IP或者127.0.0.1,以执行whomai作为命令示例,如:
curl 'http://127.0.0.1/webshell.php?1=system("whoami")';
END
洋葱公测 持续征召
全军出击 等你响应
更多活动:
「青藤雷火公测」也将于5月11日同步启动WebShell对抗众测,以攻促防,互相交流!点击查看:《我写下了开头,这次却真的猜不到结局》。
「青藤雷火公测」具体规则及奖励详情,关注微信公众号:青藤云安全资讯。
我们是TSRC
互联网安全的守护者
用户数据安全的保卫者
我们找漏洞、查入侵、防攻击
与安全行业精英携手共建互联网生态安全
期待正能量的你与我们结盟!
微信号:tsrc_team