任务 : 使用Docker搭建Java漏洞的实验环境 https://vulhub.org Fastjson : 1.2.24 和 1.2.47 log4j2 : CVE-2021-44228 kali2020-2024

要在Kali Linux 2020-2024上使用Docker搭建Fastjson(版本1.2.24和1.2.47)和log4j2 (CVE-2021-44228)的Java漏洞实验环境，你需要按照以下步骤操作：

1. **安装Docker**:
首先确保你的系统上已经安装了Docker。如果没有，你可以从https://docs.docker.com/engine/installation/ 下载并安装适合你的Linux发行版的版本。

2. **获取镜像**:
- 对于Fastjson 1.2.24和1.2.47，你需要找到包含这两个版本的Java Docker镜像。可以在Docker Hub上搜索"java-fastjson"，然后选择一个包含了所需版本的镜像。
- 对于log4j2的CVE-2021-44228漏洞，需要找一个包含修复或易受攻击版本的log4j2的镜像。由于这是安全相关的漏洞，可能需要特定的安全更新镜像。

3. **创建Dockerfile**:
创建一个名为`Dockerfile`的文件，内容大致如下（假设Fastjson镜像是`fastjson:1.2.24`和`fastjson:1.2.47`，log4j2镜像是`log4j2:cve_2021_44228_fixed`）:

   FROM openjdk:8-jdk-alpine

   RUN apk update && apk add wget

   # 安装Fastjson 1.2.24
   RUN wget https://mvnrepository.com/artifact/com.alibaba/fastjson/1.2.24/download fastjson-1.2.24.jar && mv fastjson-1.2.24.jar /usr/local/lib/

   # 安装Fastjson 1.2.47
   RUN wget https://mvnrepository.com/artifact/com.alibaba/fastjson/1.2.47/download fastjson-1.2.47.jar && mv fastjson-1.2.47.jar /usr/local/lib/

   # 如果有log4j2镜像，替换此处为相应的URL
   RUN wget https://github.com/apache/logging-log4j2/releases/download/log4j-2.15.0/log4j-2.15.0.jar && mv log4j-2.15.0.jar /usr/local/lib/

   # 设置应用入口点
   WORKDIR /app
   EXPOSE 8080
   
   CMD ["java", "-jar", "your-app.jar"]

4. **构建镜像**:
运行 `docker build -t java-vulnerable-environment .` 来构建你的自定义镜像。

5. **运行容器**:
可以通过 `docker run -p 8080:8080 -it java-vulnerable-environment` 启动容器，并映射主机的8080端口到容器内的8080端口，以便访问。

6. **验证漏洞**:
登录到容器内，尝试利用已知的Fastjson和log4j2漏洞。检查是否存在预期的行为或错误日志，这通常涉及到编写恶意输入并查看程序反应。