Excel 真的很强大之 Excel DDE 攻击
https://pentestlab.blog/2018/01/16/microsoft-office-dde-attacks/
=cmd|'/c calc.exe'!A1
=MSEXCEL|'\..\..\..\Windows\System32\cmd.exe /c calc.exe'!''
看,Excel 可以把 shell 命令表格化,还能执行,真的很牛,Excel 还能当 bat,脑洞不错。
当然事情也没有那么科幻,这个技术的初衷并不是让 Excel 扮演 bat,它的目标是为了运行 shell 命令并取得输出。毕竟那是一个命令行为主的时代。这和现在用 WebQuery 加载数据没什么不同。但它确实很不安全。甚至 csv 导入时也会执行外部命令。
脑洞看多了感觉边界比脑洞更可贵。如果Excel真的有志于扮演 bat,它可以把这种文件类型分裂为 xmd,专门给部分用户玩。不分裂文件类型也可以,还是普通 sheet,弄一个 xmd 插件,喜欢的用户可以下载,点一下按钮就可以逐行运行。总体来说还是别搞这个的好,命令行大部分是运维性的,除了IT从业人员现在有几个会玩,学计算机就是学 DOS 命令的时代早就过去了。