# [Énumération/Web] LFI - RFI

## Introduction

Les vulnérabilités **LFI** pour *Local File Inclusion* et **RFI** pour *Remote File Inclusion* sont très dangereuses puisqu'elles peuvent aboutir à des <span style="text-decoration: underline;">RCE</span> dans certains cas ou l'affichage de fichiers systèmes comme <span style="text-decoration: underline;">/etc/shadow</span> et <span style="text-decoration: underline;">/etc/passwd</span> .

Ces failles reposent sur la possibilité pour l'utilisateur d'un site web de pouvoir appeler un fichier dont il ne doit pas avoir accès initialement.

Là où la LFI se contente de pouvoir appeler des fichiers locaux au serveur web, la RFI permet d'ouvrir un fichier distant.

[![image.png](https://wiki.neopipe.fr/uploads/images/gallery/2023-10/scaled-1680-/S8Gimage.png)](https://wiki.neopipe.fr/uploads/images/gallery/2023-10/S8Gimage.png)

## LFI Finder Tool

Un outil très pratique qui permet d'énumérer les LFI disponibles d'une application web :

[https://github.com/capture0x/LFI-FINDER](https://github.com/capture0x/LFI-FINDER)