任务 : 使用Docker搭建Java漏洞的实验环境 https://vulhub.org Fastjson : 1.2.24 和 1.2.47 log4j2 : CVE-2021-44228 kali2020-2024
时间: 2024-09-19 15:03:27 浏览: 44
镜像 k8s.gcr.io/sig-storage/nfs-subdir-external-provisioner:v4.0.2
5星 · 资源好评率100%
要在Kali Linux 2020-2024上使用Docker搭建Fastjson(版本1.2.24和1.2.47)和log4j2 (CVE-2021-44228)的Java漏洞实验环境,你需要按照以下步骤操作:
1. **安装Docker**:
首先确保你的系统上已经安装了Docker。如果没有,你可以从https://docs.docker.com/engine/installation/ 下载并安装适合你的Linux发行版的版本。
2. **获取镜像**:
- 对于Fastjson 1.2.24和1.2.47,你需要找到包含这两个版本的Java Docker镜像。可以在Docker Hub上搜索"java-fastjson",然后选择一个包含了所需版本的镜像。
- 对于log4j2的CVE-2021-44228漏洞,需要找一个包含修复或易受攻击版本的log4j2的镜像。由于这是安全相关的漏洞,可能需要特定的安全更新镜像。
3. **创建Dockerfile**:
创建一个名为`Dockerfile`的文件,内容大致如下(假设Fastjson镜像是`fastjson:1.2.24`和`fastjson:1.2.47`,log4j2镜像是`log4j2:cve_2021_44228_fixed`):
```dockerfile
FROM openjdk:8-jdk-alpine
RUN apk update && apk add wget
# 安装Fastjson 1.2.24
RUN wget https://mvnrepository.com/artifact/com.alibaba/fastjson/1.2.24/download fastjson-1.2.24.jar && mv fastjson-1.2.24.jar /usr/local/lib/
# 安装Fastjson 1.2.47
RUN wget https://mvnrepository.com/artifact/com.alibaba/fastjson/1.2.47/download fastjson-1.2.47.jar && mv fastjson-1.2.47.jar /usr/local/lib/
# 如果有log4j2镜像,替换此处为相应的URL
RUN wget https://github.com/apache/logging-log4j2/releases/download/log4j-2.15.0/log4j-2.15.0.jar && mv log4j-2.15.0.jar /usr/local/lib/
# 设置应用入口点
WORKDIR /app
EXPOSE 8080
CMD ["java", "-jar", "your-app.jar"]
```
4. **构建镜像**:
运行 `docker build -t java-vulnerable-environment .` 来构建你的自定义镜像。
5. **运行容器**:
可以通过 `docker run -p 8080:8080 -it java-vulnerable-environment` 启动容器,并映射主机的8080端口到容器内的8080端口,以便访问。
6. **验证漏洞**:
登录到容器内,尝试利用已知的Fastjson和log4j2漏洞。检查是否存在预期的行为或错误日志,这通常涉及到编写恶意输入并查看程序反应。
阅读全文