目录

CSV注入漏洞

1.CSV漏洞简介

2.漏洞原理

（1）公式执行

（2）DDE机制

（3）OS命令执行

3.漏洞防御

第08关 CSV注入

1.打开靶场

2.修改源码

3.注入命令

4.导出excel表

5.打开excel表

---

CSV注入漏洞

1.CSV漏洞简介

CSV公式注入(CSV Injection）是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时，文件会从CSV描述转变为原始的Excel格式，包括Excel提供的所有动态功能。在这个过程中，CSV中的所有Excel公式都会执行，从而可能导致黑客利用此功能进行渗透，形成CSV漏洞

2.漏洞原理

（1）公式执行

当输入一个公式，会被Excel自动运算并执行。如下图执行公式=1+2+3

回车后这一行数据就会变为6

（2）DDE机制

而当你输入一个别的Excel本身不存在的功能时，Excel就会被微软的另一种机制：DDE机制调用。

DDE是Windows下进程间通信协议，是一种动态数据交换机制，使用DDE通讯需要两个Windows应用程序，其中一个作为服务器处理信息，另外一个作为客户机从服务器获得信息。DDE支持Microsoft Excel，LibreOffice和Apache OpenOffice。 Excel、Word、Rtf、Outlook都可以使用这种机制，根据外部应用的处理结果来更新内容。因此，如果我们制作包含DDE公式的CSV文件，那么在打开该文件时，Excel就会尝试执行外部应用。

（3）OS命令执行

通过在CSV文件中构建DDE公式，可以调用系统cmd执行命令，从而达到执行操作系统命令的目的，形成命令执行漏洞

如下图所示，在单元格中输入1+cmd|’/C calc’!A0

1+cmd|'/C calc'!A0

回车后Excel会弹出一个框，提醒Excel需要启动另外一个程序（cmd）

点击是，Windows会弹出计算器窗口。

因此，利用这种漏洞危害，我们可以在用户的操作系统上执行添加用户、开启任意程序、操作注册表、反弹shell等命令。 

3.漏洞防御

1、确保单元格不以特殊字符（“+、-、@、=”）开头；
2、对单元格的内容进行特殊字符（“+、-、@、=”）过滤；
3、先对原始输入内容进行转义（双引号前多加一个双引号），然后在添加tab键和双引号防止注入；
4、禁止导出CSV、Excel格式；
5、导出为Excel格式前，利用代码把单元格的格式设置为文本（对CSV不生效）。 

第08关 CSV注入

1.打开靶场

初始打开效果如下所示

2.修改源码

这是因为源码有问题，需要修改源码csv_vuln.php，修改后如下所示

<?php$conn = mysqli_connect('localhost', 'root', 'root', 'webug');if ($conn) {$sql = "select * from data_crud";$res = $conn->query($sql);}if (isset($_POST['daochu'])){$headerArray = ['name','age','email'];$string = implode(",",$headerArray)."\n";//先做出表头while (list($id, $name, $age, $email, $deflag) = mysqli_fetch_row($res)){$data = [['name'=>urldecode($name),'age'=>urldecode($age),'email'=>urldecode($email)]];foreach ($data as $key => $value) {//把需要的字段一一对应起来，如果已经对应好 直接 $outArray = $value;$outArray['name'] = $value['name'];$outArray['age'] = $value['age'];$outArray['email'] = $value['email'];$string .= implode(",",$outArray)."\n"; //用英文逗号分开 }}@$filename = date('Ymd').'.csv'; //设置文件名header("Content-type:text/csv");header("Content-Disposition:attachment;filename=".$filename);header('Cache-Control:must-revalidate,post-check=0,pre-check=0');header('Expires:0');header('Pragma:public');exit(mb_convert_encoding($string, "GBK", "UTF-8"));}
?><?php
require_once "../../common/common.php";
if (!isset($_SESSION['user'])) {header("Location:../login.php");
}
?>
<!doctype html>
<html><head><meta charset="utf-8"><title></title>
</head>
<style>body{font-family: Arial, Helvetica, sans-serif;}table{border-collapse: collapse;width: 50%;text-align: center;}td,th{border:1px solid #ccc; padding: 2px 5px;}button{padding: 5px;}div {line-height: 3;}
</style>
<body>
<?php$i_name =  urlencode($_POST[name]);$i_age =  urlencode($_POST[age]);$i_email =  urlencode($_POST[email]);if ($dbConnect) {if ($i_name != null && $i_age != null && $i_email != null){$sql = "INSERT INTO data_crud(name,age,email) VALUES ('$i_name','$i_age','$i_email')";$res = $dbConnect->query($sql);}}if ($dbConnect) {$sql = "select * from data_crud";$res = $dbConnect->query($sql);}
?><table id="table"><tr><th>Name</th><th>Age</th><th>Email</th></tr><?phpif ($res) {while (list($id, $name, $age, $email, $deflag) = mysqli_fetch_row($res)){echo '<tr>';echo '<input type="text" hidden="hidden" name="id[]" value="'.$id.'">';echo '<td><div contenteditable="true">'.urldecode($name).'</div></td>';echo '<td><div contenteditable="true">'.urldecode($age).'</div></td>';echo  '<td><div contenteditable="true">'.urldecode($email).'</div></td>';echo '</tr>';}}?></table><form action="#" method="post"><input name="daochu" type="submit" value="导出"/></form><br><h2>添加新用户信息</h2>
<form action="#" method="post"><table id="table"><tr><td>Name</td><td>Age</td><td>Email</td></tr><tr><td><input name="name" type="text" size="20"/></td><td><input name="age" type="text" size="20"/></td><td><input name="email" type="text" size="20"/></td></tr></table><div><input name="submit" type="submit" value="确认添加"/></form></div>
</body>
<script src="../../../aa/html/table-to-excel.js"></script><script>var tableToExcel = new TableToExcel();document.getElementById('button').onclick = function () {tableToExcel.render("table");};</script>
</html>

修改源码后，打开页面如下所示

3.注入命令

在添加用户信息处，任选一项name处，添加1+cmd|'/C calc'!A0这个csv注入命令，其他两项甜味18和ljn，接下来点击确认添加

添加后如下所示

这个时候点击导出，将excel表导出，很明显此时导出的表格中会包含此csv注入命令。

4.导出excel表

点击导出后效果如下，此时导出成功会提示是否打开，选择打开

5.打开excel表

打开后，当点击=1+cmd|'/C calc'!A0项数据时，提示如下

这个时候如果点击是的话，如下所示通关excel表的csv注入将计算器启动，渗透成功