从一个任意文件下载的漏洞开始说，在用户的内部网络系统中有一个系统发布之前的常规渗透测试。拿到名单后我开始了整个生活~打开系统，先看看有没有上传点，兴冲冲的找了一个圈，失望而归。但好歹还有一个下载文件的地方，抓包看看情况。看着fileUrl后面的地址，感觉有较大的可能存在任意文件读取，因此便去碰碰运气。

如果不这样的话，它可以读取服务器上的任意文件。按道理说，我此时应该再挖一处低洼处。但想到前段时间公司大神分享的案例，觉得这个漏洞还有待完善，所以就从这一点入手。利用任意读数，读入/root/.bash_hostiory，用户的历史命令。

此时，有两个方向：根据历史指令寻找网站的绝对路径，并下载源代码，然后进行代码审核，以挖RCE漏洞为突破口。查找历史记录命令中的敏感信息。我找到了代码的一部分的绝对路径，然后下载它。

编码已经有了，但问题也来了，因为有很多源码，我也不知道现在访问的网站是哪一个，而且我明天之前还要提交报告，代码审核方向又花了时间，所以就放弃这个方向吧。

在第二种方法中也有意外收获，即在命令中查找敏感信息。翻身一波，眼前一亮，ssh帐号和密码已到。而且，更令我吃惊的是，这个服务器居然还配置了免密远程登录到其他服务器的权限。IP就可以直接ssh加起来，不仅仅是web服务器，看起来也成了运行的跳板。

ssh密钥到手，如果在护网过程中，我是红队得到了这个漏洞，是不是瞬间就得到了3个内网服务器的分数？哈哈！嗯，别做梦了，就是挖漏洞不找别的服务器，毕竟没有授权，也该是交报告的时候了。

或者多听大神们的分享，学会如何从低谷中慢慢地滚雪球。