腾讯主机安全“猎刃计划”系列挑战赛

 

腾讯T-Sec主机安全作为云上最后一道防线，基于腾讯安全积累的海量威胁数据，利用机器学习，为客户提供全面检测和修复方案，守卫云上主机安全，并获得Gartner、Frost & Sullivan、赛可达实验室等多家机构权威认证。

 

为进一步提升安全性能，T-Sec主机安全团队联合腾讯安全云鼎实验室、腾讯安全应急响应中心（TSRC）等，正式推出“猎刃计划”系列挑战赛，诚征各位安全猎手云上对抗，共同提高主机安全。

 

“猎刃计划”挑战赛共分四期，比赛贯穿全年，主题围绕主机和容器面临的主要安全场景，如webshell绕过、入侵检测等。

 

年底总排名靠前的选手，将有机会赢取年度万元大奖、获得TSRC年度表彰证书，并特邀参加TSRC年终盛典。

 

 

 

2022年3月22日10时-3月31日18时

 

 

 

1）提交符合评分标准和规则的WebShell样本，奖励200安全币（1000元）；

 

2）比赛结束，当期榜单TOP3将获得额外奖励：

 

1.当期冠军   3,000元京东卡

 

2.当期亚军   2,000元京东卡

 

3.当期季军   1,000元京东卡

 

 

1.总榜冠军   10,000元奖金

 

2.总榜亚军   8,000元奖金

 

3.总榜季军   6,000元奖金

 

 

 

http://175.178.188.150/ (公测开始时开放)。

 

参赛者可以在该地址提交PHP文件进行绕过测试。

 

 

下载地址：

 

https://share.weiyun.com/8AKvksEn 或 https://hub.docker.com/r/alexlong/nginx-php7.4.28

(docker镜像使用方式参考“常见问题FAQ”)。

 

官方提供统一验证环境镜像，参赛者提交的WebShell必须在默认验证环境下能稳定运行。

 

 

1）WebShell指外部能传参控制(如通过GET/POST/HTTP Header头等方式)执行任意代码或命令，比如eval($_GET[1]);。在文件写固定指令不算Shell，被认定为无效，如

 

2）绕过检测引擎的WebShell样本，需要同时提供完整有效的curl利用方式，如：curl 'http://127.0.0.1/webshell.php?1=system("whoami")';。curl利用方式可以在提供的docker镜像中进行编写测试，地址可以是容器IP或者127.0.0.1，文件名任意，以执行whoami作为命令示例。

 

3）WebShell必须具备通用性，审核时会拉取提交的Webshell内容，选取一个和验证镜像相同的环境进行验证，如果不能正常运行，则认为无效。

 

4）审核验证payload有效性时，WebShell文件名会随机化，不能一次性执行成功和稳定触发的，被认定为无效。

 

 

1）以绕过产品侧的检测点为标准，只要绕过检测点的原理相同即视为同一种绕过方式；

 

2）相同姿势的绕过方式，以最先提交的参赛者为准，先提交的获得奖励，后提交的视为无效；

 

3）文件大小不超过3M；

 

4）所有绕过代码需要在单一文件内，不可以利用多文件方式绕过，且绕过样本需要能够在默认的php.ini配置下运行；

 

5）为了更真实的对抗，检测引擎会定期进行更新维护；

 

6）不可与其他测试选手共享思路，比赛期间不得私自公开绕过技巧和方法；

 

7）禁止长时间影响系统性能暴力发包扫描测试；

 

8）大赛主办方有权修改包括规则等一切事项。

 

 

1）请将符合评分标准和规则的报告提交到TSRC(https://security.tencent.com/index.php/report/add)；标题以“[猎刃计划]”开头，先到先得；

 

2）提交TSRC内容：

webshell样本 + curl命令执行成功的payload + 成功截图 + 绕过思路简要介绍

 

注：payload中的地址可以是容器IP或者127.0.0.1，文件名任意，以执行whoami作为命令示例，

 

如：curl 'http://127.0.0.1/webshell.php?1=system("whoami")';。curl利用方式可以在提供的docker镜像中进行编写测试。