CSV注入-钓鱼利用

CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能。在这个过程中,CSV中的所有Excel公式都会执行。当该函数有合法意图时,很易被滥用并允许恶意代码执行。
 
在表格中输入=36+1保存后可以成功执行
 
调用计算器,输入
=1+cmd|' /C calc'!A0
保存再打开

 

 

如果不小心点击是
 

 

根据需要可将调用计算器命令替换成其他命令

该漏洞可用来钓鱼

posted @ 2020-09-23 10:33  xuanlv、  阅读(548)  评论(0编辑  收藏  举报