一次渗透测试，看了好一会没啥成果。无意中发现了ssrf漏洞，根据PHP的报错信息，发现其实是远程文件下载漏洞，从而成功拿下服务器。

发现有报告下载功能，抓包发现请求了一个内网IP地址，第一反应是ssrf漏洞

测试下出网情况，发现服务器可以出网。

本以为只是简单的SSRF漏洞，测试发现该接口居然还能读文件，也就变成ssrf+任意文件下载两漏洞

无意中发现，不加绝对路径也能读，此时的想法是：难道服务器自己会找文件？

首先解释下PHP中的copy方法。根据传入的参数不同，copy方法是可以从本地复制，也可以远程复制，然后将结果保存到其他文件。

仔细看这段报错，这里服务器copy了一个文件，如果这个文件存在就会保存到另一个文件夹下，然后使用fopen读取保存的文件。

这也就解释了为什么不需要绝对路径也能读取文件。

这是因为第一次读取/etc/passwd时，passwd被保存到了本地。当再次读取passwd时，则从保存的文件读取。相当于一个缓存作用。

尝试访问被保存的文件，发现是永久保存的。那么这个漏洞就变成了远程文件下载漏洞。

如果我在vps上放一个php的webshell，然后让它去下载，岂不是直接拿下。

直接下载php脚本，访问下文件发现能解析php。

冰蝎连接后命令也能正常执行，不过权限不是root。由于不打内网，就不做进一步的操作了。愉快写报告。

1、文件下载的功能点不要使用路径或url的形式。

2、PHP不要随意开启debug模式，你不开我还找不到文件落地在哪里。

感谢【Mi】先生投稿。