DVWA File Inclusion（文件包含）

我们的任务是实现包含指定路经下的测试文件。

Low

本地文件：

不同路径下的文件均可包含。

远程文件：

包含成功。

综上可猜出该level为动态包含，且对文件名没有处理：

Medium

本地文件：

尝试不同路径：

失败。

远程文件：

失败。

从报错信息可以猜出，源码对"../"、"http://"进行了替空。

双写即可绕过：

 源码：

High

本地文件：

尝试不同路径亦如此。

远程文件：

同样失败。

未抛出报错信息，说明源码进一步加强了对文件名的处理。

查看源码：

仅文件名为"file"起头才可包含。

可利用file://协议绕过，但只能实现本地文件包含了。

file://协议用于访问本地文件系统，不受allow_url_fopen与allow_url_include的影响。

同时只能使用绝对路径：

Impossible

设置此level的目的应该是想告诉如何我们杜绝文件包含漏洞的发生：

非匹配的文件名不可包含，即静态包含。