CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能。在这个过程中,CSV中的所有Excel公式都会执行。当该函数有合法意图时,很易被滥用并允许恶意代码执行。
在表格中输入=36+1保存后可以成功执行
![](https://img2020.cnblogs.com/blog/2163870/202009/2163870-20200923103040372-1231187529.png)
调用计算器,输入
=1+cmd|' /C calc'!A0
保存再打开
![](https://img2020.cnblogs.com/blog/2163870/202009/2163870-20200923103100794-213242753.png)
如果不小心点击是
![](https://img2020.cnblogs.com/blog/2163870/202009/2163870-20200923103135475-80410713.png)
根据需要可将调用计算器命令替换成其他命令
该漏洞可用来钓鱼