Смысл в том, что /etc/passwd есть на любой nix-ОС и если получилось его заинклюдить (как вариант прочитать), то значит как минимум локальный инклюд есть (я не беру вариант с опенбэйздир) и не надо подбирать путьк нему, т.к. при любом (большом) количестве /../ ты всеравно его прочитаешь (потому что выше рута / не прыгнешь), а дальше все, что подскажет тебе воображение...
например есть локальный инклюд, ты можешь:

1) прочитать и использовать passwd файл для брута по маске login:login (к тому же узнать путь к домашним директориям пользователей, иногда очень нужно)

2) узнав методом перебора стандартных путей путь к логам апача, ты можешь намеренно вызвать ошибку, записать к примеру в error_log php код а потом этот error_log проинклюдить (заметь локально) и соответственно этот код выполнить (например элементарный веб-шелл <?php system($_GET[cmd]); ?>)

3) если на сайте есть возможность заливки картинок, то ты можешь вставить php код в gif или в Exif данные jpeg картинки, а потом с помошью все того же локального инклюда выполнить этот код (проинклюдив картинку)

4) Есть у тебя к примеру SQL инъекция и у пользователя БД есть права filepriv, но ты не можешь записать шелл т.к. незнаешь путей, или нет ни одной паки доступной из веба с правами на запись, в первом случае ты можешь прочитать файл httpd.conf (если найдешь, и если будут права на чтение) и узнать пути, хотя это можно сделать и через sql-inj, при втором варианте ты пишешь свой шелл в /tmp и с помощью локального инклюда подцепляешь свой шелл из /tmp

5) куча вариантов, насколько фантазии хватит


Если есть просто читалка файлов, то ты можешь посмотреть файлы конфигурации на сайте и узнать пароль и пользователя БД (обычно они в незашифрованном виде)

ну надеюсь ты понял...

__________________
Карфаген должен быть разрушен...