政府电脑系统国产化替代：甘孜政府公文系统中Oracle人力资源管理系统PeopleSoft未授权远程代码执行漏洞解析

政府电脑系统国产化替代：甘孜政府公文系统中oracle人力资源管理系统peoplesoft未授权远程代码执行漏洞解析成为企业高度认知的管理软件。政务OA系统市场在近10年内高速发展，不同企业在选择OA办公系统过程中考虑重点不同，政务OA系统的安全信息，但它其实漏洞重重。 仅从我随手的安全测试来看，peoplesoft应用程序包含很多不经验证授权的服务端点，可能出于高交互性，这些服务端中大部分都使用了默认密码。这种脆弱的安全环境明摆着给攻击者敞开了门窗。在这篇文章中，我将展示如何利用一个xxe漏洞提权以执行系统命令，该问题可能影响当前所有peoplesoft版本软件。 xxe漏洞：获取本地网络访问权限 peoplesoft存在多个xxe漏洞，如早几年的cve-2013-38


刚刚，华为被爆正遭美国司法部调查！:

若真的被美方认定违反了伊朗禁运政策，华为或将永远失去美国市场，甚至如中兴一样，被断所有美国“货源”，包括硬件和软件。据华尔街日报报道，美国司法部正在调查华为公司是否违反向伊朗禁运的有关制裁！ 这是继中兴事件后，美国政府针对国内科技公司的又一大动作。华为“原罪”为何？ 众所周知，美国商务部将禁止美国企业向中兴通讯销售元器件的原因是，美方认为“中兴合谋在未获得美国政府许可的情况下向伊朗出口美国产品，妨碍司法以及制造重大不实陈述”，此次调查华为，美方用了同样的理由：怀疑华为违反了美国的伊朗禁运政策 但由于美伊关系走向正常化，美国要求伊朗提供在禁运制裁期，中国违反禁运制裁的企业名单。而伊朗在提交的名单中，提及了华为和中兴。 2003年1月，全球领先的网络解决方案供应商思科在美国得克萨斯州东区联邦法庭对华为提起控诉，称华为在多款路由器和交换机中盗用了其源代码，不仅产品与思科雷同，还侵犯了他们至少5项专利。

ecm是什么-企业内容管理:

【界定】 　　企业内容管理系统软件（ecm系统软件）与erp、oa、信创政务OA、hrms一样归属于一种手机软件种类。 这在一定水平上反映出企业内容管理技术性的演化过程：从以集中型后面管理方法为主导的手机软件方式、变化为分布式系统、服务项目导向性的服务平台方式。 、联邦政府构架、混和云计算平台。 ecm最开始朝向企业对职工（b2e）系统软件，如今为企业对企业（b2b），企业对政府部门（b2g），政府部门对企业（g2b）和别的市场细分给予解决方案。 　　 　　saas模式（saas） 　　当地安裝的saas和第三方软件解决方案的结合体 　　ecm的关键优点包含： 　　更高效率，更具有成本效益的文本文档管理和操纵，以促进企业选用 　　保证符合实际政府部门和领域政策法规

泛微 e-cology oa 前台sql注入漏洞复现:

费控管理等功能，适用于手机和pc端，是当今比较主流的政务OA系统之一。 0x01 原理概述----该漏洞是由于政务OA系统的workflowcentertreedata接口在收到用户输入的时候未进行安全过滤，oracle数据库传入恶意sql语句，导致sql漏洞。 0x02 影响范围----使用oracle数据库的泛微 e-cology oa 系统 0x03 环境搭建----在线环境（限今晚）：打赏(任意金额)+转发，联系作者获取fofa搜索：app泛微-协同办公 oa 自行搭建： 公众号内回复“泛微环境”0x04 漏洞利用----找到oracle数据库的泛微政务OA系统后直接使用poc（已公开）如果不存在漏洞，则显示结果如下? 参考链接：https:mp.weixin.qq.comsgbr_imrbcvgtzfennah-lg

把“ai威胁论”观念植入马斯克大脑的那个人，现在“反水”了:

“想象一下，你有机会告诉全美国最有权势的50位政客，自己认为需要政府立即行动的、最急迫的问题是什么。过去的这个周末马斯克就有这样的机会。结果他选择提醒这些州长对人工智能保持警惕，以免其消灭人类。” yann lecun后来也转推了这篇文章。没完。转天，《发现》杂志干脆直接了联系了几位计算机科学和未来学领域的大牛，正面对马斯克的观点进行回应。 对于工作和武器系统这些东西的影响。 “不过伊隆在一件事上说对了：我们需要政府现在就开始对ai进行管控。 无论是支持还是反对，对这些言论，他没有做出任何回应——在最近的推特上，他宣布自己刚刚拿到了政府对于在地下建造连接纽约、费城、巴尔的摩与华盛顿的超级高铁hyperloop的口头许可。

政府电脑系统国产化替代：甘孜政府公文系统中oracle人力资源管理系统peoplesoft未授权远程代码执行漏洞解析

的政务OA厂商是首选。 　　OA产品同质化现象严重，oa技术已逐渐走向成熟，能够提供更优质的服务才令政务OA厂商具备更高的竞争力。那么在政务OA系统服务上，应该从哪些方面去考量政务OA厂商的实力呢？ 　　其一，售前讲解与试用 　　政务OA厂商面对用户的第一阶段应该是刚刚接触用户，用户或许通过自身渠道或内部cio的建议对市面上的OA产品有过一定了解，此时政务OA厂商在提供试用渠道的基础上，针对用户提出的多样化需求予以解答，不断调整OA产品功能适应用户需求，是否有功能定制和开发需要。由于OA产品缺少行业标准化产品，各家功能侧重点不同，应该从用户自身出发调整产品功能；针对缺乏对OA产品了解的用户，应该从基本功能对OA产品进行概述，为用户提供多种解决方案。 　　政务OA系统的核心技术在于“魔方架构”，三大核心技术侧几个月前，我有幸参与几个oracle peoplesoft建设项目的安全审计，审计对象主要为peoplesoft系列的人力资源管理系统（hrms）和开发工具包（peopletool）。纵观网上关于peoplesoft的安全资料，除了几个无法证实的cve漏洞参考之外，就只有erpscan在两年前hitb会议的一个信息量极大的演讲。根据erpscan的演讲pdf我发现，尽管网上鲜有peoplesoft的安全信息，但它其实漏洞重重。 仅从我随手的安全测试来看，peoplesoft应用程序包含很多不经验证授权的服务端点，可能出于高交互性，这些服务端中大部分都使用了默认密码。这种脆弱的安全环境明摆着给攻击者敞开了门窗。在这篇文章中，我将展示如何利用一个xxe漏洞提权以执行系统命令，该问题可能影响当前所有peoplesoft版本软件。 xxe漏洞：获取本地网络访问权限 peoplesoft存在多个xxe漏洞，如早几年的cve-2013-3800和cve-2013-3821，最新的为erpscan发现的cve-2017-3548。通常来说，可以利用这些漏洞获得peoplesoft和weblogic控制端的密码信息，但在该测试环境中这种方法的成功实现需要一定难度。另外，由于cve-2017-3548为bind-xxe漏洞，而且我认为目标网络系统可能部署有防火墙，所以，利用xxe漏洞窃取系统信息并不像想像中的那么简单。在这里，我们一起来看看cve-2013-3821和cve-2017-3548的poc利用代码： cve-2013-3821：集成网关httplisteningconnector xxe cve-2017-3548：集成网关peoplesoftservicelisteningconnector xxe 换个思路考虑一下，我觉得可以利用xxe漏洞来访问本地服务器localhost的各种服务，或许这还能绕过防火墙规则或身份验证检查。因此，在这里只需要知道peoplesoft的服务端口即可。最终，我通过获取其访问主页服务的cookie识别了端口信息： set-cookie: snp2118-51500-portal-psjsessionid=9jwqzvxkjzgjn1s5dlf1t46pz91ffb3p!-1515514079; 可以看出，当前peoplesoft的服务端口为5100，可以通过http://localhost:51500/方式访问到相应的应用程序。 apache axis服务的利用 在peoplesoft服务架构中，其中一个未经验证授权的服务为通过http://website.com/pspc/services方式访问的apache axis 1.4。该apache axis服务允许我们从java类中构建soap终端，然后利用生成的web服务描述语言（wsdl）配合辅助代码实现与这些终端进行交互。我们可以通过http://website.com/pspc/services/adminservice对apache axis服务进行管理： 以下为apache axis管理员基于java.util.random类创建soap服务端的post代码，从该代码中，我们可以看到一些具体的服务创建方式： 由于java.util.random类中的每一个公用方法都可以作为一个服务来使用，因此，我们可以通过soap来调用random.nextint()方法，其请求的post代码如下： 之后，会产生以下响应信息，这些信息对应了xml方式的一些设置： 虽然该管理终端对外部ip地址进行了屏蔽，但通过localhost本地访问时却不需要输入任何验证密码。因此，这理所当然地成为了我们的一个渗透突破口。但是，由于我们将要利用的是xxe漏洞，需要通过构造get方式获取相关信息，因此可以参考以上创建服务和调用方法的post请求，在后续与服务器的交互过程中，将我们特定的soap payload攻击载荷转换为get请求发送给主机服务器，最终尝试获得一些有用信息。 axis: 参考post请求构造get形式的soap payload axis api允许发送get请求，它首先会接收给定的url参数，然后再将这些参数转换为一个soap payload。通过分析发现，在axis源代码中，有一段方法代码可以把get参数转换为有效的xml payload，该方法代码如下： 为了更好地理解它的转换机制 ，我们来看这个示例： 以上get请求等同于xml形式的设置如下： 然而，当我们尝试使用这种方法来创建一个新的服务端时却出现了一个问题：在代码层面，我们定义的xml标签必须要设置属性。因此，当我们像如下方式在get请求中添加了xml标签属性之后： 得到的相应xml设置信息如下： 很显然，注意查看红框标记，该文件是个无效的xml文件，其直观在在浏览器中的运行结果是这样的： 当然，其对服务器的请求最终也是无效的。但如果我们像下面这样把整个payload放到方法参数中： get /pspc/services/someservice ?method=mymethod+attr="x"><test>y</test></mymethod 将会得到如下的xml设置信息： 请注意观察，我们的payload信息会被两次进行解析设置，第一次解析的前缀为“<”，第二次为“</”。为了实现一次解析，我们可以使用以下xml注释方法来解决： get /pspc/services/someservice ?method=!--><mymethod+attr="x"><test>y</test></mymethod 之后，可以得到正常有效的如下xml设置信息： 在<soapenv:body>当中，由于我们之前在get信息中添加了“!–>”前缀，所以首个payload以xml注释的起始标记“<!–”开头，第二个payload却是以xml注释结束标记</!–>开始的，这也意味着在<!–>和</!–>之间的payload将会被注释掉，我们预计要执行的在</!–>之后的payload将会成功一次解析执行。 由此，我们就可以将任意的soap请求从原先的post方式转化为xxe漏洞可以利用的get方式了，同时也就意味着，我们可以利用xxe漏洞绕过ip检查机制，将任意类上传部署为axis service使用。 axis: 源码分析后的缺陷方法利用 在服务部署时，apache axis不允许我们上传自己设置的javz类，只能使用系统提供的服务类。在对peoplesoft中包含axis实例的pspc.war包文件进行分析之后，我发现org.apache.pluto.portalimpl包中的部署类包含了一些很有意思且可以利用的方法。比如，addtoentityreg(string[]args)方法允许在xml文件结尾添加任意数据，另外，copy(file1, file2)方法还允许我们进行任意复制拷贝。这两个方法缺陷足以让我们向服务器中部署包含jsp payload的xml文件，并把其拷贝到webroot目录下，从而获取到系统的控制shell。 正如预想的那样，利用这种方法，配合xxe漏洞，我们最终从peoplesoft中获得了system系统权限，实现任意命令执行目的。对peoplesoft来说，这是一个严重的未授权验证远程系统命令执行漏洞。 exploit 目前，据我的分析和测试来看，该漏洞可能影响当前所有版本的peoplesoft。经对以上方法思路的整理，最终总结出了以下可以进行安全测试的exploit。（代码具有危险性，请勿用于非法目的）： 更多信息，请参考erpscan《oracle peoplesoft applications are under attacks!》

6370 万元、2021年海淀区城市大脑第一批平台建设项目:

2022年1月20日，北京市海淀区城市服务管理指挥中心发布《2021年海淀区城市大脑第一批平台建设项目》竞争性磋商公告，预算 6369.9323 万元。 采购需求：2021年海淀区城市大脑第一批平台建设项目，包括海淀区“水务大脑”建设项目，主要需求为通过完善水务感知网，建设5个基础业务模块、11个智慧场景、决策指挥中心、移动应用以及公众服务，构筑“水务要素全面感知 、数据资源深度治理、业务应用智慧协同、基础底座共建共用、公众服务主动开放”的智慧水务基本框架，项目预算4412.9463万元；海淀区网格化图像信息系统运维管理系统项目，主要需求为在海淀区视频专网范围内建设一套综合运维管理系统 合同履行期限： 海淀区“水务大脑”建设项目：项目实施周期为合同签订之日起12个月； 海淀区网格化图像信息系统运维管理系统项目：要求合同签订后12个月内完工并具备初验条件。

什么是 bpmn ？为什么要用 bpmn 和公文系统 ？:

bpmn 和 activiti 介绍 公文系统介绍在任何行业和企业中，都有各种各样的流程，例如：请假流程报销流程入职流程离职流程出差流程等等……就算你自己没有设计过公文系统，那么你每天肯定也在使用各种流程。 为什么要用 bpmn ？ 为什么要遵循规范 ？遵循市场行为举例：我们日常的电池 ? 所以选择合适的工具，就成了程序员最重要的选择。activiti 是应对大型系统的复杂流程的作战工具，小规模场景和流程不复杂的业务系统，不建议使用。 本章总结：为什么要用公文系统引擎 ？ ：jbpm 现在发展的也很不错，还有目前比较新兴的流程引擎：camunnda，flowable 目前看起来也潜力十足，他们都是遵循了 bpmn 2.0 规范，因为在国内应用的比较主流，所以这里我们这里重点介绍

6246 万元、岱山县城市大脑建设工程二期拟单一来源：海康威视是赢家:

2022年1月27日，岱山县发布《城市大脑建设工程二期拟单一来源》公示，预算 62464920 元。 单一来源原因 1、《岱山县人民政府专题会议纪要11号》明确岱山海莱云智科技有限公司作为城市数字技术运营商，需充分支持岱山海纳数智运营有限公司的数字资产价值转换为科技市场产品，需充分支持其为城市数字资产优化 2、本项目为岱山县城市大脑建设工程的续建性项目，岱山海莱云智科技有限公司作为岱山县城市大脑建设工程（一期）的中标方，本项目是岱山县城市大脑建设工程二期，内容包括政务云扩容、公共数据安全体系建设、县级一体化智能化公共数据平台改造升级等 3、鉴于以上情况，建设本项目采用单一来源采购方式，拟定供应商为岱山海莱云智科技有限公司。  拟定供应商：岱山海莱云智科技有限公司   岱山海莱云智科技有限公司系杭州海康威视数字技术股份有限公司与舟山群岛新区蓬莱国有资产投资集团有限公司合资企业，持股比例各为 66.6%、33.4%。

一个优雅的报警处理系统范例:

报警遇到的痛点 报警风暴，高质量报警湮没在海量报警之中；出现报警后没人认领，需要在在工作的im群中沟通；运维人员进行运维操作必定会引起某些报警，会给不知道真相的同学带来困惑；海量报警恢复之后，运维人员很难在第一时间知道还剩下哪些报警没有恢复 使用微信的缺点：    可用度依赖腾讯的服务器：为此特意增加了对微信服务器接口的监控，发现接口有问题之后会发短信报警；    客户端需要保持联网，没有送达报告：因此系统提供汇总表功能（详见后文）。 微信 vs 短信 两个平台所有微信接口做了加密处理，防止非授权用户访问和关注公众号。短信平台主要用来发送灾难级别的报警、微信api接口的报警，系统本身可用度的报警。 总结     系统使用的成果云极星创之前使用的报警方案是邮件加短信的方式，在报警触发之后，运维交流群会有大量围绕报警的沟通，并且经常发生报警风暴，将短信发送平台堵塞，在本系统投入使用之后，基本上所有的沟通都在系统内进行 研发历程本系统开发历时半年左右，基本上随着云极星创的发展而发展壮大起来，初期的想法是因为各家短信发送平台随着国家打击电信诈骗的政策影响，变得越来越不好用，所以诞生了使用普及率非常高的微信来替代短信的想法

转载请注明出处,本站网址：http://www.oa900.cn/news_202605171979.html