【漏洞复现】北京中科聚网一体化运营平台-任意文件上传-catchByUrl

最新推荐文章于 2024-06-22 19:29:47 发布
最新推荐文章于 2024-06-22 19:29:47 发布
阅读量125 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: 漏洞复现 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/139837293
版权

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介

北京中科聚网信息技术有限公司(简称:中科聚网)是一家致力于大中型网站建设、企业内部资源管理与大数据检索应用,获得了北京市专项资金扶植的软件企业。中科聚网为政府企业客户提供资源管理、数据检索应用产品和整体解决方案及提供高端的技术顾问与咨询。

0x02 漏洞概述

北京中科聚网信息技术有限公司一体化运营平台catchByUrl接口存处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。

0x03 网络测绘

title="一体化运营平台" || body="thirdparty/ueditor/WordPaster"

0x04 漏洞复现<

了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞北京中科一体化运营平台-任意文件-resources
知黑而守白
06-20 10
北京中科信息技术有限公司(简称:中科)是一家致力于大中型站建设、企业内部资源管理与大数据检索应用,获得了北京市专项资金扶植的软件企业。中科为政府企业客户提供资源管理、数据检索应用产品和整体解决方案及提供高端的技术顾问与咨询。北京中科信息技术有限公司一体化运营平台resources接口处存在任意文件漏洞,恶意攻击者可以上恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
漏洞北京中科一体化运营平台catchByUrl存在文件漏洞
失心少年
05-02 354
技术文章仅供参考,任何个人和组织使用络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!北京中科一体化运营平台 catchByUrl存在文件漏洞,未经身份验证的攻击者可利用此漏洞后门文件,从而获取服务器权限。
北京中科信息技术有限公司一体化运营平台word/catchByUrl接口存在文件漏洞
weixin_43167326的博客
04-17 1008
北京中科信息技术有限公司成立于2011年,注册资金2000万,通过了国家高新技术企业和双软企业认定。总部位于北京中关村产业园区,在郑州和石家庄建有分公司,员工超过100人。公司拥有智慧城市、融媒体、大数据、商城等领域研发的50+自主知识产品,服务用户500余家,主要包括省部委办局、国家级科研单位、大中型国企。服务范围涵盖税务、宣、人社、环保、科研、水利、教育、旅游、市场监管、铁路、交通、政法等众多领域。
某科一体化运营平台 多处 文件致RCE漏洞
0xSec
04-30 658
某科一体化运营平台 catchByUrl、ue/word、radioupload等接口存在文件漏洞,未经身份验证的攻击者可利用此漏洞后门文件,执行任意指令,从而获取服务器权限。
数字游园会--成都国际数字文创产业总部园区又一力作!
International_di的博客
08-08 91
成都,作为全国公园城市样板项目。在在城市公园环境升级、公园城市样板建设中都走到了前例。可以说成都也是名副其实的休闲之都,在市区范围内,就有大大小小一百余个公园。但是,如何探索公园场景的更多展空间,实公园内生价值良性循环,还是很多政府及企业探索的重要路径...
能云平台,掌能助力机房运维的利器
weixin_34259559的博客
07-03 131
摘要:能云平台,是深圳掌能科技有限公司使用云计算、物联和移动互联等技术,结合机房运维的实际需求,为业主和服务团队共同打造的机房设备监控和运维的应用平台能云平台,是深圳掌能科技有限公司使用云计算、物联和移动互联等技术,结合机房运维的实际需求,为业主和服务团队共同打造的机房设备监控和运维的应用平台能云平台的系统功能 如图所示,能云...
中国产业园区发展动态及前景趋势规划建议报告2022-2028年版
Q_1106715599的博客
02-23 812
【撰写单位】:鸿晟信合研究院 【报告目录】: 第1章:中国产业园区运行状分析1.1 产业园区的演化趋势分析 1.1.1 生态系统的发端:核 (1)主导产业 (2)核心企业 1.1.2 生态系统的形成:链 1.1.3 生态系统的完善: 1.2 产业园区的政策环境分析 1.2.1 产业园区相关发展规划政策 1.2.2 产业园区土地使用政策分析 1.2.3 产业园区税收优惠政策分析 1.2.4 产业园区其他补贴政策分析 1.2.5 产业园区发展其他相关政策 1.3 产业园...
最新前端开发面试笔试题及答案---图片(面试题系列持续更新中)(1)
南北极之间
06-16 3672
给大家推荐一个程序员开发利器:给大家推荐一个让你觉得相见恨晚的工具——utools 可以随意取色!识别图中的所有文字。还能翻译哦!
多场景应用QYT-X1s合路由器来保障您的移动
QDLL123的博客
03-24 371
合路由器能帮您实: 一、公共安全络应用 当生命受到威胁时,急救人员和公共安全单位之间的实时通信几乎无法中断。QYT-X1s合技术结合多个WAN和商业4G/5G LTE 或者APN连接,以实稳定的络连接,即使在无线络超载的大事件中也是如此。 二、车载络连接解决方案 运输部署络面临一些挑战。在整个移动旅程中,移动无线络覆盖都会产生蜂窝死点。即使连接可用,流媒体或视频会议等带宽密集型任务的吞吐量可能也不够。QYT-X1s通过结合多个带宽、5G、4G连接的来解决这个问题 三、机器人和无
服务器管理助手 v2.6.2.zip
07-11
服务器管理助手是为搭建服务器环境而开发的服务器管理软件。它可以轻松的在服务器上搭建php、mysql、iis和FileZilla server ftp服务器等服务器必备软件。
JuSNS社区管理系统.7z
07-07
JuSNS是一个基于.NET2.0+MS SQL Server 2000/2005的一款**台型社交络软件。她灵活多变,开发者(包括用户)可以基于JuSNS**台开发自己的社交关系。JuSNS完全免费且开源,并提供完善的开发者文档。...
ASP.NET-[论坛社区]JuSNS社交管理系统v1.5.010.zip
11-21
ASP.NET-[论坛社区]JuSNS社交管理系统v1.5.010.zip
JuSNS社交管理软件 v1.5.0101.rar
07-09
软件介绍 JuSNS是一个基于.NET2.0 MS SQL server 2000/2005的一款平台型社交络软件。她灵活多变,开发者(包括用户)可以基于JuSNS平台开发自己的社交关系。JuSNS完全免费且开源,并提供完善的开发者文档。 JuSNS...
ASP.NET-[论坛社区]JuSNS社交管理软件v1.5.0101Bulid090416.zip
11-21
ASP.NET-[论坛社区]JuSNS社交管理软件v1.5.0101Bulid090416.zip
利用第三方服务对目标进行被动信息收集防止被发(web安全白帽子)
最新发布
qq_44870829的博客
06-22 386
利用第三方服务对目标进行被动信息收集防止被发
络安全(补充)
m0_62207482的博客
06-15 611
物理安全威胁一般分为自然安全威胁和人为安全威胁。自然安全威胁包括地震、洪水、火灾、鼠害、雷电;;;;人为安全威胁包括盗窃、爆炸、毁坏、硬件安全 防火墙白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止 防火墙名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许 将入侵检测系统置于防火墙内部,使得很多对络的攻击首先被防火墙过滤,也就是防火墙是首当其冲的,从而减少了对内部入侵检测系统的干扰,提高入侵检测系统的准确率,但是其检测能力不会变化 通过VPN技术,企业可以在远程用户、分
深信服科技:2023络安全深度洞察及2024年趋势研判报告
2301_76786857的博客
06-19 253
2023 年,生成式人工智能和各种大模型迅速应用在络攻击与对抗中,带来了新型攻防场景和安全威胁。漏洞利用链组合攻击实攻击效果加成,在国家级对抗中频繁使用。勒索团伙广泛利用多个信创系统漏洞,对企业数据安全与财产安全造成了严重威胁。数据泄露问题频频出,个人信息泄露成为了关注的焦点;同时,境外络攻击势力不断刺探,APT 攻击技术不断更新。 2023年络安全呈出哪些演变趋势?本报告将重点围绕安全漏洞、恶意软件、数据安全和 APT攻击四个领域展开观察,并对 2024 年络安全需重点关注的方向进行深入思考
络安全练气篇——OWASP TOP 10
weixin_55762309的博客
06-13 1163
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。最重要的版本应用程序中最严重的十大风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值