Excel 真的很强大之 Excel DDE 攻击

https://pentestlab.blog/2018/01/16/microsoft-office-dde-attacks/

=cmd|'/c calc.exe'!A1
=MSEXCEL|'\..\..\..\Windows\System32\cmd.exe /c calc.exe'!''

看，Excel 可以把 shell 命令表格化，还能执行，真的很牛，Excel 还能当 bat，脑洞不错。

当然事情也没有那么科幻，这个技术的初衷并不是让 Excel 扮演 bat，它的目标是为了运行 shell 命令并取得输出。毕竟那是一个命令行为主的时代。这和现在用 WebQuery 加载数据没什么不同。但它确实很不安全。甚至 csv 导入时也会执行外部命令。

脑洞看多了感觉边界比脑洞更可贵。如果Excel真的有志于扮演 bat，它可以把这种文件类型分裂为 xmd，专门给部分用户玩。不分裂文件类型也可以，还是普通 sheet，弄一个 xmd 插件，喜欢的用户可以下载，点一下按钮就可以逐行运行。总体来说还是别搞这个的好，命令行大部分是运维性的，除了IT从业人员现在有几个会玩，学计算机就是学 DOS 命令的时代早就过去了。