北京中科聚网信息技术有限公司一体化运营平台word/catchByUrl接口存在文件上传漏洞

 0x01 阅读须知

        技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

0x02 产品概述

        北京中科聚网信息技术有限公司成立于2011年，注册资金2000万，通过了国家高新技术企业和双软企业认定。总部位于北京中关村产业园区，在郑州和石家庄建有分公司，员工超过100人。 公司拥有智慧城市、融媒体、大数据、商城等领域研发的50+自主知识产品，服务用户500余家，主要包括省部委办局、国家级科研单位、大中型国企。服务范围涵盖税务、宣传、人社、环保、科研、水利、教育、旅游、市场监管、铁路、交通、政法等众多领域。 

0x03 漏洞描述

        文件上传漏洞是指当一个应用程序允许用户上传文件到服务器时，由于缺乏足够的安全措施，攻击者能够上传包含恶意代码的文件，进而执行未授权的操作或获取对系统的控制权。这种漏洞特别危险，因为它可以直接导致服务器被完全接管。

fofa

title="一体化运营平台" || body="thirdparty/ueditor/WordPaster"

0x04 POC利用(POC在内部星球，点击下方地址加入星球获取POC)

👉地址1 >>>点击直接加入星球获取更多未公开漏洞POC

👉此地2 >>>点击全面了解星球内部VIP介绍获取更多0/1day漏洞POC-末尾加入星球

需要加入内部知识星球可点击上方链接，资源包含但不限于网上未公开的1day/0day漏洞2024 更新漏洞POC共950+2024最新SRC/CNVD/Edu实战挖掘技巧报告，红队内网横向渗透，代码审计，JS逆向，SRC培训等课程。圈子对新人友好，加入圈子拥有FOFA shadan 360Quake ZoomEye Tide 零零信安 Hunter Ctfshow等等高级会员账号，SRC文档，武器库。圈子里面资料价值至少在10K以上，目前星球内部主题600+，资源2000+，其他和网盘资源1w+并持续更新中!!

内部VIP专属0day速查漏洞库-每日更新汇集全网0/1day POC

​​​

2024更新的0day/1day(包含公开和未公开漏洞-仅列举部分)漏洞整理更新至570+需要的加入星球获取

​

一些漏洞报告200+(仅列举部分)加入星球获取更多资源及视频资源持续更新中！

​​​​​​

​​​​​​

        需要加入内部知识星球可点击上方链接，资源包含但不限于网上未公开的day漏洞（更新漏洞POC共500+），2024最新企业SRC/CNVD/Edu实战挖掘技巧报告，红队内网横向渗透，代码审计，JS逆向，SRC培训等课程。圈子对新人友好，加入圈子拥有FOFA shadan 360Quake ZoomEye Tide 零零信安Hunter等等高级会员账号，SRC文档，武器库。圈子里面资料价值至少在10K以上，目前星球内部主题500+，资源2000+，其他和网盘资源1w+并持续更新中，越早加入价格越低。