Local File Inclusion (LFI) o, en español, Inclusión local de archivos.
Es cuando por un error de programación puedes acceder/modificar/ejecutar archivos que no deberías, el ejemplo común es passwd
por ejemplo en aragog puedes llamar /etc/passwd
Hay una lista muy buena en un programa que se llama LFISuite que hace eso atuomaticamente: https://github.com/D35m0nd142/LFISuite
https://github.com/D35m0nd142/LFISuite/blob/master/pathtotest.txt
o
https://github.com/D35m0nd142/LFISuite/blob/master/pathtotest_huge.txt
Hay dos formas de hacerlo,
- Burp pero esta limitado asumiendo que no pagas la version pro https://youtu.be/NFdi-2tgvxY min 14
- Lograr en repeater que te conteste algo
- Lo mandas a intruder
- Seleccionas entre $$ las variables
- Subes la lista de LFI
- Y acomodas por tamaño de respuesta y en la pestaña de response puedes ver lo que se va generando.
https://digi.ninja/blog/when_all_you_can_do_is_read.php