首先这是一个正常的文档

wKioL1UmSaDgQ0miAACeCulIibA078.jpg

当将这一个doc文档改成zip,再解压后就会发现doc文档就是一堆xml文件组成的

wKiom1UmSWmhJ5cGAACykzCnYHY445.jpg


在word文件夹里打开document.xml

wKiom1UmSXegfggyAAQyFSFI6s0146.jpg 

可以发现doc里的内容都在<w:t></w:t>里
构造实体,并在<w:t></w:t>里引用实体来实现xxe

实体定义:

<!DOCTYPE document [<!ENTITY xxe SYSTEM "file:///etc/passwd">]>

实体引用:

<w:t>&xxe;</w:t>

在0ctf一道题里的效果
QQ截图20150409154402.jpg 

之前二哥就找到过在qq邮箱里对附件doc的预览来xxe