第一题
![](https://i-blog.csdnimg.cn/direct/6d9fb96ab5fa4f57bc07d52d80f7a4d9.png)
![](https://i-blog.csdnimg.cn/direct/a73ae88b210f4ab1b9385afec6fd7ec4.png)
第二题
![](https://i-blog.csdnimg.cn/direct/2508f6cfeac74e56b21e9fde061c1cd8.png)
![](https://i-blog.csdnimg.cn/direct/46fc389007e042cbbe00369034e7e77b.png)
![](https://i-blog.csdnimg.cn/direct/0b7af37b3ede45e1ac5c8b1dc235a4ad.png)
查看源码发现这里引用的
angular
框架
body
头为
ng-app
搜索文献得知
angular
框架可以将
{{x}}
内部执行函数
![](https://i-blog.csdnimg.cn/direct/050f7e14e9d14ac282a018f20d22723b.png)
试验得知
angular
可以执行
{{
}}
内部函数
那么我们注入代码
{{alert()}}
![](https://i-blog.csdnimg.cn/direct/5e9da39ce8cb4d90b0b7540a8a1e10f8.png)
![](https://i-blog.csdnimg.cn/direct/2dd0d905caa449dd9f05040e68152fac.png)
![](https://i-blog.csdnimg.cn/direct/0b77d7d7276642e18210a17bfc2886d1.png)
调用了
search
解释器
那么我们注入的 search 是
![](https://i-blog.csdnimg.cn/direct/30c55c320e7d4a1bb6a1f8d00a5a3f3f.png)
先闭合
” -alert()}//
![](https://i-blog.csdnimg.cn/direct/c564605cf1394dbeae48dca455d43762.png)
第四题
![](https://i-blog.csdnimg.cn/direct/49083dec93724c7abcf01be07cc52753.png)
随便注入一下,没有成功
查看源码
![](https://i-blog.csdnimg.cn/direct/bbc7ac00d2b34ccb896176896aef5bed.png)
发现它会把
<>
给转义
但是它貌似只会过滤一次,那么我把第一次过滤掉尝试注入
<><img src=1 οnerrοr=alert(1)>
![](https://i-blog.csdnimg.cn/direct/ecf3d29bea5848cd840a7d5635686720.png)