Openfire安装

77@ubuntu129:~/repos$ wget https://github.com/igniterealtime/Openfire/releases/download/v4.4.2/openfire_4.4.2_all.deb
77@ubuntu129:~/repos$ sudo dpkg -i openfire_4.4.2_all.deb
Selecting previously unselected package openfire.
(Reading database ... 332004 files and directories currently installed.)
Preparing to unpack openfire_4.4.2_all.deb ...
Unpacking openfire (4.4.2) ...
Setting up openfire (4.4.2) ...
adduser: Warning: The home directory `/var/lib/openfire' does not belong to the user you are currently creating.
Processing triggers for ureadahead (0.100.0-21) ...
Processing triggers for systemd (237-3ubuntu10.24) ...
77@ubuntu129:~/repos$ sudo systemctl start openfire.service
77@ubuntu129:~/repos$ tcp|grep 9090
tcp6       0      0 :::9090                 :::*                    LISTEN      28190/java

在WEB界面继续安装:
参考:

  • https://www.vultr.com/docs/how-to-setup-an-openfire-xmpp-server-on-ubuntu-16-04-lts
  • https://computingforgeeks.com/install-openfire-xmpp-chat-server-on-ubuntu-linux/

安装完成之后进入这个界面:

SSRF:CVE-2019-18394


/getFavicon对应了FaviconServlet这个类,
进入这个类,其doGet方法里根据用户的host参数,进行http请求。

xmppserver/src/main/java/org/jivesoftware/util/FaviconServlet.java

由于后面跟着/favicon.ico

可以用?来讲后面的作为请求参数,而造成任意path的请求。

http://192.168.85.129:9090/getFavicon?host=192.168.85.129:4444/secrets.txt?a=

参考

  • https://swarm.ptsecurity.com/openfire-admin-console/

Openfire漏洞(CVE-2019-18393/18394)相关推荐

  1. php x24 x65 x6d x61,Jboss远程代码执行漏洞CVE:2013-4810获得system权限

    此方法成功的渗透至Windows系统并获得最高权限exp 此方法成功的渗透至Windows系统并获得最高权限 exp ?php/*Apache Tomcat/JBoss EJBInvokerServl ...

  2. C++ 复杂、内存漏洞,2019 年的软件开发并不安全!

    在这篇文章中,本文作者会分享自己过去一年中对软件设计和开发现状的一些观察,并试图在 2019 年为自己找到一个有意义的努力方向. 作者 | Chris 译者 | 安翔 责编 | 屠敏 出品 | CSD ...

  3. oracle cve 漏洞,CVE安全漏洞的理解

    几乎oracle的每个季度发布的数据库补丁Oracle Database Server Risk Matrix一项中都有如下语句描述的安全补丁 This vulnerability is remote ...

  4. cve漏洞(cve漏洞库)

    怎样修复CVE-2015-5122漏洞 建议腾讯电脑管家修复 1)腾讯电脑管家会智能匹配电脑系统,针对性推送适合系统的高危漏洞补丁,而其他安全软件可能推送非高危漏洞补丁: 2)腾讯电脑管家推送最近发布 ...

  5. android 服务端 漏洞,安卓漏洞 CVE 2017-13287 复现详解-

    2018年4月,Android安全公告公布了CVE-2017-13287漏洞. 与同期披露的其他漏洞一起,同属于框架中Parcelable对象的写入(序列化)与读出(反序列化)的不一致所造成的漏洞. ...

  6. linux系统漏洞修复2019,Linux中 OpenSSH 输入验证错误漏洞(CVE-2019-16905) 修复解决方案...

    解决方案: redhat6.7与centos6.7版本升级到openssh8.1版本与openssl-1.1.1自动化脚本,解决linuxOpenSSH输入验证错误漏洞(CVE-2019-16905) ...

  7. 百度网盘漏洞,2019年不限速方法,一直享受高速加速下载!

    现在加速工具其实挺多的,比如pandownload.yunpan.downloader.犀牛下载器.速盘等 缺点就是不稳定,还可能被限速,速盘应该是体验最好的,可惜也会被限速,想要稳定只能用它的付费版 ...

  8. java栈溢出漏洞cve,TP-Link WR841N 栈溢出漏洞(CVE-2020-8423)分析

    简介 前段时间 TP-LINK TL-WR841N 设备爆出了一个认证后的栈溢出漏洞,借机复现了一下这个栈溢出漏洞,其中有一些在漏洞利用上的小技巧在此和大家分享一下. 漏洞信息如下: 漏洞编号:CVE ...

  9. Linux漏洞CVE整理

    Bash: CVE-2014-6271 转载于:https://www.cnblogs.com/AtesetEnginner/p/11149590.html

最新文章

  1. 用AI创造可持续发展社会价值,第二届腾讯Light·公益创新挑战赛正式启动
  2. controller如何保证当前只有一个线程执行_今天我们来聊一聊 Spring 中的线程安全性...
  3. 库克在白宫网络峰会中再次反对加密后门
  4. vi/vim命令怎么在Linux系统中使用
  5. Hdoj 1847.Good Luck in CET-4 Everybody! 题解
  6. J2EE WEBWORK FRAMEWORK安全隐患
  7. java循环的内部改变循环变量的值_java在for循环中怎样修改参数值?
  8. CentOS安装etcd和flannel实现Docker跨物理机通信
  9. c语言试题c组卡片换位,蓝桥杯 卡片换位 - 李韬|aitom|机器人|SLAM - OSCHINA - 中文开源技术交流社区...
  10. PHP函数spl_autoload_register()用法和__autoload()介绍(转)
  11. j剑指offer面试题[33]-把数组排成最小的数
  12. Vaughn Vernon谈云原生和反应式现状
  13. Ubuntu免密码输入关机脚本
  14. ASP.NET 高级编程基础第十二篇—服务器控件
  15. 单链表的结构体定义与声明
  16. 8700K + z370 安装黑苹果 Mojave
  17. 深入理解计算机系统-cachelab
  18. VC++,6.0 MFC设计--- 图形界面
  19. Word制作表格常用操作
  20. Python实现迷宫游戏

热门文章

  1. 数据库1——简单 单表查询(50)
  2. 5 年经验年薪百万,一位阿里 P8 分享自己的成长干货
  3. sed 's 替换内容的\1是什么意思?
  4. ACDSee Pro v5.2 英文破解版
  5. 前端资源文件(图片 css js)同步到阿里云OSS
  6. Sycode.DWG.DXF.Converter.v2.0 1CD
  7. linux 终端80列_如何从Linux终端列出计算机的设备
  8. 利用赛门铁克漏洞渗透整个企业网络
  9. 2012年复赛综合训练(一):第一题:nbsp;…
  10. arcgis 栅格数据 邻域计算_ArcGIS空间分析基本操作