WUZHICMS 4.0.0 任意文件读取漏洞

第一步：创建一个新的会员帐户并登录，我们可以获取用户的cookie，例如

其名为 set_cookie 的自定义函数（在文件 `coreframe/core.php` 中，请参阅 ）用于为用户生成 cookie。

它使用自定义的名为WUZHI_encrypt的加密类（在文件`coreframe/app/core/libs/class/encrypt.class.php`中）来加密用户的cookie。

以用户名为例，可以看到用户的真名是`hiboy`，密码是`P0k19fPKVx0qkrl4d0%2BIMg%3D%3D`。

它依赖于常量_KEY，它在安装时在文件`configs/web_config.php`中定义。

最后你可以看到 _KEY 的第一个字符在字符序列 `ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz` 的范围内

_KEY 的其余字符来自字符序列 `ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz_0123456789`

因此，对它的自定义类WUZHI_encrypt 做一些小修改，如下所示，就可以破解_KEY。

0.php src:

第二步：使用_KEY生成文件名
coreframe/app/content/down.php

例如，如果你想读取文件'/etc/passwd'，你只需要确保$file类似于