XXE漏洞在DOCX文件中的利用技术详解<\/h1>

0x00 背景与概述<\/h2>
DOCX格式文件在微软Office 2007及以后版本中引入，其本质是一个包含XML文件的ZIP压缩包。这种特性使得DOCX文件可能成为XXE(XML External Entity)攻击的载体。本文详细分析DOCX文件中的XXE利用技术，包括多种攻击向量和绕过方法。<\/p>

0x01 DOCX文件结构基础<\/h2>

DOCX文件本质：ZIP压缩包，包含多个XML文件<\/li>
关键文件位置：word\/document.xml<\/code> - 存储文档主要内容<\/li>
内容存储格式：文本内容位于<w:t><\/code>标签内<\/li>

解压方法：使用unzip<\/code>命令解压DOCX文件<\/li>
<\/ul>
0x02 基本XXE利用方法<\/h2>
方法1：通过document.xml注入<\/h3>

解压DOCX文件：unzip example.docx -d extracted<\/code><\/li>
编辑word\/document.xml<\/code>文件：
<!DOCTYPE test [<!ENTITY test SYSTEM 'file:\/\/\/etc\/passwd'><\/span> ]>
<\/span><\/span><w:t><\/span>&test;<\/w:t><\/span>
<\/span><\/span><\/code><\/pre><\/li>
重新压缩文件：zip -r modified.docx *<\/code><\/li>
上传到目标系统<\/li>
<\/ol>
特点<\/strong>：<\/p>

仅适用于LibreOffice，微软Word无法解析<\/li>
案例：HackPack 2021 Indead v2 CTF题目<\/li>
<\/ul>
0x03 进阶XXE利用方法<\/h2>
方法2：通过docProps\/app.xml注入<\/h3>
当document.xml被检测或过滤时，可利用页码显示位置：<\/p>

编辑docProps\/app.xml<\/code>文件<\/li>
在<Pages><\/code>标签中插入XXE实体<\/li>
<\/ol>
方法3：OLE对象链接技术（仅限LibreOffice）<\/h3>
适用于在线Word转PDF服务（通常使用LibreOffice）：<\/p>

在LibreOffice中创建文档<\/li>
插入 → OLE对象 → 选择"链接到文件"<\/li>
链接到目标文件（如\/etc\/passwd<\/code>）<\/li>
先保存为ODT格式，再修改扩展名为DOCX<\/li>
解压后编辑content.xml<\/code>：
<text:section<\/span> text:name=<\/span>"string"<\/span>><\/span>
<\/span><\/span>  <text:section-source<\/span> xlink:href=<\/span>"\/flag"<\/span> 
<\/span><\/span>                       xlink:type=<\/span>"simple"<\/span> 
<\/span><\/span>                       xlink:show=<\/span>"embed"<\/span> 
<\/span><\/span>                       xlink:actuate=<\/span>"onLoad"<\/span>\/><\/span>
<\/span><\/span><\/text:section><\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
优势<\/strong>：<\/p>

绕过基于document.xml的检测<\/li>
可读取服务器端文件<\/li>
<\/ul>
限制<\/strong>：<\/p>

读取行数有限（需自定义文本框解决）<\/li>
<\/ul>
0x04 其他相关攻击向量<\/h2>
ZIP压缩包特性利用<\/h3>
DOCX作为ZIP文件的特性可被用于：<\/p>

通过PHP伪协议利用（如zip:\/\/<\/code>）<\/li>
隐藏恶意代码在压缩包中<\/li>
<\/ul>
0x05 防御建议<\/h2>

完全禁用XML实体解析<\/li>
多层面检测：

检查document.xml中的可疑实体<\/li>
检查app.xml等辅助文件<\/li>
监控OLE对象链接<\/li>
<\/ul>
<\/li>
处理工具选择：

注意LibreOffice与MS Word的解析差异<\/li>
在线转换服务的特殊风险<\/li>
<\/ul>
<\/li>
<\/ol>
0x06 拓展资源<\/h2>

XXE Cheat Sheet by SecurityIdiots<\/a><\/li>
XML External Entity Injection案例<\/a><\/li>
<\/ol>
总结<\/h2>
DOCX文件因其XML和ZIP双重特性成为XXE攻击的潜在载体。攻击者可通过多种途径利用这一特性，防御需要全面考虑文件结构各个部分和不同办公软件的处理差异。安全人员应了解这些技术以有效防御相关攻击。<\/p>

XXE漏洞在DOCX文件中的利用技术详解<\/h1>

0x02 基本XXE利用方法<\/h2>

0x03 进阶XXE利用方法<\/h2>

0x04 其他相关攻击向量<\/h2>

总结<\/h2> DOCX文件因其XML和ZIP双重特性成为XXE攻击的潜在载体。攻击者可通过多种途径利用这一特性，防御需要全面考虑文件结构各个部分和不同办公软件的处理差异。安全人员应了解这些技术以有效防御相关攻击。<\/p>

总结<\/h2>
DOCX文件因其XML和ZIP双重特性成为XXE攻击的潜在载体。攻击者可通过多种途径利用这一特性，防御需要全面考虑文件结构各个部分和不同办公软件的处理差异。安全人员应了解这些技术以有效防御相关攻击。<\/p>