Olá a todos, vou explicar a vulnerabilidade LFI (Local File Inclusion) sobre este assunto
.
Qual é a lacuna de inclusão de arquivo local (LFI) ?
A lógica básica da inclusão de arquivo local (LFI) é ignorar os arquivos no site ou servidor de destino. Este exploit é uma vulnerabilidade de linguagem de software PHP. O motivo é devido ao Erro de Atribuição das Variáveis.
Hoje, porém, a Existência dos Scripts Renovados, Devido à Existência da Deficiência, Quase Diminuiu

.
Como encontrar a vulnerabilidade LFI ?
Certos pentesting podem ser encontrados com programas, bem como podem ser detectados manualmente.
Por exemplo ( http://site.com/index.php?id=1 ) Este não é apenas o id, também pode ser como (home=, url=).
Para detectar a vulnerabilidade Lfi = Vamos excluir o valor do número no final. Se encontrarmos um erro como esse, significa que há um déficit de Lfi.

ERRO;
Aviso : include(company_data/.php) [function.include]: falhou ao abrir o fluxo: Não existe tal arquivo ou diretório em /usr/home/posting/public_html/resources/index.php na linha 171

Fora isso;
(http://site:com/index.php?page=homepage)

Nesta detecção, se encontrarmos um erro quando alterarmos o parâmetro da página inicial e escrevermos por exemplo homepageasdqwe, significa que há um Open.

ERRO;
Aviso : include(homeasdqwe.php) [function.include]: falhou ao abrir o fluxo: Não existe tal arquivo ou diretório em /var/www/html/site.com/index.php na linha 135

Este erro nos informa sobre;
Os dados recebidos por meio do parâmetro da página são incluídos no index.php.

Observação; Graças a essa vulnerabilidade, o Shell pode ser carregado em servidores da Web.