0x01 阅读须知
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
0x02 产品概述
智游宝是电子票务交易的一个核心环节,是在电子票务交易中负责验票码的生成、编码、发码、验码、管理,以及签发数字证书、确认用户身份等网上电子交易安全服务,是连接景区与分销商的公正、权威、可信的第三方服务平台。智游宝不仅能为景区快速对接各大旅游电商平台,实现游客免排队换票,直接刷二维码或二代证入园,提升网站票务预订电子化水平,提高票务销售量。浙江深大智能科技有限公司管控平台服务端存在任意文件上传漏 。
0x03 漏洞描述
任意文件上传是一种网络安全漏洞,它允许攻击者上传任意类型的文件到服务器,这包括恶意文件如Webshell,从而执行任意命令、窃取数据或发起进一步攻击。这种漏洞通常发生在应用程序对用户上传的文件处理不当,未能正确验证文件类型、内容或路径时。攻击者可以利用这种漏洞上传恶意文件,进而控制整个系统。
fofa
在内部获取
0x04 POC利用(POC在内部星球,点击下方地址加入星球获取POC)
👉此地2 >>>点击全面了解星球内部VIP介绍获取更多0/1day漏洞POC-末尾加入星球
需要加入内部知识星球可点击上方链接,资源包含但不限于网上未公开的1day/0day漏洞2024 更新漏洞POC共950+2024最新SRC/CNVD/Edu实战挖掘技巧报告,红队内网横向渗透,代码审计,JS逆向,SRC培训等课程。圈子对新人友好,加入圈子拥有FOFA shadan 360Quake ZoomEye Tide 零零信安 Hunter Ctfshow等等高级会员账号,SRC文档,武器库。圈子里面资料价值至少在10K以上,目前星球内部主题600+,资源2000+,其他和网盘资源1w+并持续更新中!!
内部VIP专属0day速查漏洞库-每日更新汇集全网0/1day POC
2024更新的0day/1day(包含公开和未公开漏洞-仅列举部分)漏洞整理更新至950+需要的加入星球获取
一些漏洞报告200+(仅列举部分)加入星球获取更多资源及视频资源持续更新中!
需要加入内部知识星球可点击上方链接,资源包含但不限于网上未公开的day漏洞(更新漏洞POC共500+),2024最新企业SRC/CNVD/Edu实战挖掘技巧报告,红队内网横向渗透,代码审计,JS逆向,SRC培训等课程。圈子对新人友好,加入圈子拥有FOFA shadan 360Quake ZoomEye Tide 零零信安Hunter等等高级会员账号,SRC文档,武器库。圈子里面资料价值至少在10K以上,目前星球内部主题500+,资源2000+,其他和网盘资源1w+并持续更新中,越早加入价格越低。