本地文件包含 (LFI) 检测和利用

概述

本 Skill 专注于本地文件包含 (LFI) 类型漏洞的检测与利用。

LFI 漏洞发生在应用程序将用户输入直接用作文件路径或在未正确验证的情况下包含文件时。攻击者可通过路径遍历或伪协议读取敏感文件、执行任意代码。

与 exploit-file-download 的区别：

• LFI: 参数值被 include() 或保存为文件内容，危害=代码执行 (RCE)
• 文件下载: 参数值用于下载文件到本地，危害=信息泄露

核心功能

1. LFI 漏洞检测

自动识别以下 LFI 特征：