Hola, estuve probando en un script q usa html frames, y se puede abrir por ej google.com en el frame principal (metiendo la url de google en la url del site vulnerable), estuve un rato intentando conseguir shell con exploits en php, pero no pasaba nada y al final vi q en una parte tienen un login y es .asp, asi q supongo que el include del frame tbm se hace en asp.

Como se puede explotar esto para conseguir shell?

Es un frame (de los frameset), pero no incluye la url de google en el src="" del frame, sino q aparece el codigo dentro de otro htm dentro del script, por ej: en el site vulnerable aparece el <frame src="archivodentrodelservervulnerable.htm"> pero dentro de ese frame aparece el code de google, o la pagina q meta en la url. No se si me explico.

Algo asi pero no literalmente, osea el source de la pagina se ve como

<frame src='/paginadentrodelserver.html'></frame>

Pero el contenido es relativo a lo que yo ponga en la url q utilizo para visitar la pagina y no el contenido original de /paginadentrodelserver.htm
Por eso pienso q lo estan procesando asp de alguna forma.

la direccion es /index.htm?http://unadireccion.com

y el frame siempre se ve como <frame src="content.htm"></frame>

pero no abre content.htm, sino q carga http://unadireccion.com dentro de ese frame

si el servidor corre asp no puedes hacerle correr un php como parte de un rfi.

Ahora, lo que tu tienes es un xss y no un RFI, recuerda que un RFI significa remote file inclusión pero una inclusion local donde el servidor lo ejecuta, en este caso un iframe lo incluye desde el cliente por lo tanto no se ejecuta.

Un RFI se provoca desde el código fuente de programación no desde lo que expulsa como salida.

por ejemplo

<?php
 include($_GET['x']);
?>

Eso es RFI si es que el servidor permite hacer la inclusion externa pero no un frame.
Lo que tienes es solo XSS y sirve para ejecución de código por parte del cliente no por parte del servidor, por lo tanto no puedes subirle ninguna shell ni nada por el estilo.