长亭百川云 - 文章详情

实战笔记之csv/xlsx注入

冷渗透

36

2024-07-14

一、故事背景

二、实战案例

一、故事背景

回顾往期内容

实战笔记之服务端逻辑重构漏洞

滑动验证码攻防对抗

实战笔记之X厂滑动验证码漏洞挖掘

好久不见。

记得写完上一篇文章《实战笔记之服务端逻辑重构漏洞》后。

...

比3月29号提前了两天,不算如期而至。

期间参加了一次秘密众测,中间get到一个比较冷门的漏洞点,虽然危害不高,但想简单记录分享一下。老师傅绕路,下篇文章再见~

二、实战案例

1

复现场景

①两重身份:普通用户&管理员用户

②漏洞切入点:后台具有数据导出的接口

 

③挖掘思路:实际测试中,要是看到有导出按钮的地方,有两个思路。

                    a. 常规思路,越权。

                    b. 冷门思路,csv/xlsx注入

2

**复现步骤
**

01

发现脆弱点

登录管理员身份——后台有导出接口——测试csv/xlsx注入

02

登录普通用户身份——前端发布内容

内容填写恶意payload:  **=2+5+cmd|' /C calc'!A0
**

(ps:这个是弹计算器,图片中写的是cmd执行ipconfig命令)

点击发布。

03

登录管理员身份——进入后台——导出发布的内容数据

①点击导出,这里导出的是xlsx格式

②下载完成,点击启用编辑

③点击一下此单元格,再点击任意其它地方

④弹出对话框,点击“是”

⑤触发payload, 后台会悄悄运行cmd并执行ipconfig命令

⑥如果用  =cmd|' /C calc'!A0  这个Payload,则弹出计算器

win7

win10

漏洞危害

(上面这句话,是在漏洞报告里吹的五香麻辣牛肉屁,不要当真。)

⑦真正涉及漏洞利用,需要很多次管理员点击交互。所以危害程度也就不够高了。

顺便提一下如果是csv格式的文档,则需要交互的地方就比xls/xlsx格式少两步。

可以本地测试一下:

a. 新建1.csv

b. 写入语句

c. 保存后,重新打开

d. 点击是,即可触发payload

复现过程中,有两个需要注意的点:

(1) 由于是xls/xlsx格式的文档,第一次下载打开时,会比csv格式的文档多两步交互才能触发payload.

(2)如果使用的是win7/win8或其它低版本机器,即可直接打开。

若使用的是win10复现此漏洞,需要进行以下操作才能执行payload。

还有一些升级的payload玩法,因为都是前车之鉴,所以网上都能找到的,不再累赘。

欢迎各位师傅,在后台留言批评指点。

END

下一篇。记录一下对业务安全层的黑灰产硬件工具研究。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2