利用doc来实现xxe

2021年8月6日08:45:24评论118 views字数 221阅读0分44秒阅读模式

点击T00ls 关注我们

先是一个正常的doc文档

当将这一个doc文档改成zip，再解压后就会发现doc文档就是一堆xml文件组成的

在word文件夹里打开document.xml

可以发现doc里的内容都在<w:t></w:t>里
构造实体，并在<w:t></w:t>里引用实体来实现xxe

实体定义：

实体引用：

在0ctf一道题里的效果

之前二哥就找到过在qq邮箱里对附件doc的预览来xxe

利用doc来实现xxe

本文始发于微信公众号（T00ls）：利用doc来实现xxe

本文由 admin 发表于 2021年8月6日08:45:24
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
利用doc来实现xxehttp://cn-sec.com/archives/349460.html

物理安全和网络安全之间的 10 个相似之处