Run any Skill in Manus with one click

python-prototype-pollution

Python 原型链污染（属性注入/Class Pollution）检测与利用。当目标为 Python Web 应用（Flask/Sanic/Django/FastAPI）且存在递归合并(merge)、深度属性设置(pydash.set_)、JSON 配置更新接口时使用。覆盖污染入口识别、__globals__链构造、Flask SECRET_KEY/Jinja2定界符/searchpath污染、pydash路径过滤绕过、Sanic污染链、RCE/文件读取/权限提升利用

Run Skill in Manus

Stars1,429

Forks226

UpdatedApril 25, 2026 at 06:36

Source

wgpsec

wgpsec/AboutSecurity

View GitHub Repository View Creator Repositories

Install command

Download

Run Skill in Manus

Useful forSOC

Information Security AnalystsComputer and Mathematical Occupations15-1212L4

File Explorer

6 files

SKILL.md

readonly

name	python-prototype-pollution
description	Python 原型链污染（属性注入/Class Pollution）检测与利用。当目标为 Python Web 应用（Flask/Sanic/Django/FastAPI）且存在递归合并(merge)、深度属性设置(pydash.set_)、JSON 配置更新接口时使用。覆盖污染入口识别、__globals__链构造、Flask SECRET_KEY/Jinja2定界符/searchpath污染、pydash路径过滤绕过、Sanic污染链、RCE/文件读取/权限提升利用
metadata	{"tags":"prototype-pollution,python,pydash,merge,class-pollution,attribute-injection,flask,sanic,jinja2,rce,原型链污染,属性注入,deep,set_,__class__,__init__,proto,class pollution,深度设置,递归合并,globals,配置污染,cookie,octal,八进制,bypass,绕过,waf","category":"exploit"}

Python 原型链污染方法论

Python 原型链污染（又称 Class Pollution / Attribute Injection）利用 Python 类继承和 __globals__ 机制，通过递归合并函数或深度属性设置函数（如 pydash.set_()），从一个普通对象"跳出"当前作用域，修改全局变量、Flask 配置、Jinja2 引擎设置，实现 RCE、文件读取或权限提升。

深入参考

Flask/Jinja2 完整污染目标清单 → references/flask-jinja2-targets.md
Phase 3A-3I 详细利用 Payload 与 Phase 4 高级链 → references/exploitation-payloads.md
pydash 路径过滤绕过 + Cookie 八进制绕过 → references/pydash-bypass.md
Sanic 框架污染链 → references/sanic-pollution-chain.md
完整污染链速查清单 → references/quick-reference.md

Phase 0: 识别污染入口

寻找将用户 JSON 输入递归合并/设置到 Python 对象的代码模式：

入口类型	代码特征	常见接口
自定义 merge 函数	`def merge(src, dst)` + `setattr(dst, k, v)`	POST JSON 配置更新
pydash.set_()	`pydash.set_(obj, path, value)`	API 属性设置
pydash.get()	`pydash.get(obj, path)`	API 属性查询
pydash.invoke()	`pydash.invoke(obj, path, arg)`	API 方法调用
其他深度设置库	`glom`, `box`, 任何 deep-set 实现	配置更新接口

识别信号：

接口接受嵌套 JSON 对象（{"a": {"b": {"c": "value"}}} 格式）
接口接受点分路径字符串（"a.b.c" 格式）
响应头显示 Python/Flask/Werkzeug/uvicorn
页面/源码/requirements.txt 提及 pydash、merge、update

Phase 1: 确认污染可行性

1.1 判断 obj 类型

obj 类型	起步路径	识别方法
自定义类实例	`__init__.__globals__`	直接设 `__init__.__globals__.xxx` 有效
字典 (dict)	`__class__.__init__.__globals__`	需先 `__class__` 跳出字典键值逻辑

1.2 无害探测（不破坏目标）

# merge 函数场景: 嵌套 JSON
curl -X POST http://target/api/merge \
  -H 'Content-Type: application/json' \
  -d '{"__class__": {"__name__": "test"}}'

# pydash.set_ 场景: 点分路径
curl -X POST http://target/api/update \
  -H 'Content-Type: application/json' \
  -d '{"path": "__class__.__name__", "value": "test"}'

# pydash.get 场景: 信息泄露探测
curl -X POST http://target/api/get \
  -H 'Content-Type: application/json' \
  -d '{"path": "__class__"}'

Phase 2: 选择污染目标

决策树

确认 Python 原型链污染可行
├── 目标使用 pydash.invoke()？
│   └── 是 → 直接 RCE（Phase 3A）
├── 目标使用 Flask？
│   ├── 需要提权？ → 污染类属性 is_admin（Phase 3B）
│   ├── 有 session？ → 污染 SECRET_KEY → 伪造 session（Phase 3C）
│   ├── 有 SSTI 但被过滤？ → 污染 Jinja2 定界符（Phase 3D）
│   ├── 有 render_template？ → 污染 searchpath/静态目录（Phase 3E）
│   └── 有 before_first_request？ → 重置 _got_first_request（Phase 3F）
├── 目标有文件上传？
│   ├── 代码调用相对路径命令 → PATH 劫持（Phase 3G）
│   └── 代码有懒加载 import → sys.path 劫持（Phase 3H）
└── 有函数 shell=False 等默认参数？
    └── 污染 __defaults__ / __kwdefaults__（Phase 3I）

各 Phase 的详细利用命令和代码见 references/exploitation-payloads.md

与 SSTI 和反序列化的关系

技术	入口	关系
原型链污染	merge/set_ 接口	本 skill
SSTI	模板注入点	原型链污染可改 Jinja2 定界符绕过 SSTI 过滤
反序列化	pickle/json	SECRET_KEY 被污染后可伪造 session → 触发 pickle 反序列化

三者可组合使用：原型链污染 → 修改 SECRET_KEY → 伪造 session → pickle RCE。

More from this repository

same repository

azure-pentesting

wgpsec/AboutSecurity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

2026-05-311.4k

gcp-exploit

wgpsec/AboutSecurity

GCP 云环境攻击方法论。当目标使用 Google Cloud Platform、发现 GCP Service Account/Metadata/Storage Bucket 时使用。覆盖 Metadata 服务利用、Service Account 密钥窃取、IAM 提权、GKE 逃逸、Storage Bucket 枚举

2026-05-211.4k

gcp-pentesting

wgpsec/AboutSecurity

GCP 云环境渗透测试总体方法论。当目标使用 Google Cloud Platform、发现 GCP 相关资产（GCS Bucket/Compute Engine/Cloud Functions/GKE）、获取 GCP 凭据（Service Account Key/OAuth Token/Metadata Token）、或需要对 GCP 环境进行安全评估时使用。提供从未授权枚举到提权、后渗透、GCP-to-Workspace 穿越的全流程决策树。覆盖 37+ GCP 服务攻击面

2026-05-211.4k

serverless-attack

wgpsec/AboutSecurity

Serverless/云函数安全测试与攻击。当目标涉及 AWS Lambda、腾讯云 SCF、阿里云 FC、Azure Functions 等 Serverless 服务时使用。当发现 API Gateway 后端是 Lambda/SCF 触发、通过 cloud-aksk-exploit 获取到函数操作权限、或需要分析云函数代码中的漏洞时使用。覆盖事件注入（HTTP/OSS/消息队列触发器参数篡改）、环境变量泄露（硬编码凭据提取）、函数代码注入/覆盖（UpdateFunctionCode）、Runtime 利用（/tmp 写入/Layer 劫持/依赖投毒）、临时凭据滥用。发现任何 Lambda/SCF/云函数、API Gateway、或 Serverless 架构时都应使用此 skill

2026-05-211.4k

tencent-pentesting

wgpsec/AboutSecurity

腾讯云渗透测试方法论。当目标使用腾讯云服务、发现 cos.*.myqcloud.com 资产、获取腾讯云 SecretId/SecretKey、在 CVM 实例内可访问 metadata.tencentyun.com 元数据、或需要对腾讯云 CAM/CVM/COS/TencentDB/TKE/SCF 等服务进行安全评估时使用。覆盖 CAM 提权、CVM 接管、COS 对象存储利用、TencentDB 数据库攻击、TKE 容器集群、SCF 云函数、CLB 负载均衡、CLS 日志服务、KMS 密钥管理

2026-05-211.4k

java-injection-audit

wgpsec/AboutSecurity

Java 源码注入类漏洞审计。当在 Java 白盒审计中需要检测注入类漏洞时触发。覆盖 6 种注入: SQL 注入(JDBC/MyBatis/Hibernate/JPA)、命令注入(Runtime.exec/ProcessBuilder)、 SSRF(HttpURLConnection/OkHttp/RestTemplate)、LDAP 注入、SpEL/OGNL 表达式注入、NoSQL 注入(MongoDB)。需要 java-audit-pipeline 提供的数据流证据(EVID_*)作为审计输入。

2026-05-211.4k

name	python-prototype-pollution
description	Python 原型链污染（属性注入/Class Pollution）检测与利用。当目标为 Python Web 应用（Flask/Sanic/Django/FastAPI）且存在递归合并(merge)、深度属性设置(pydash.set_)、JSON 配置更新接口时使用。覆盖污染入口识别、__globals__链构造、Flask SECRET_KEY/Jinja2定界符/searchpath污染、pydash路径过滤绕过、Sanic污染链、RCE/文件读取/权限提升利用
metadata	{"tags":"prototype-pollution,python,pydash,merge,class-pollution,attribute-injection,flask,sanic,jinja2,rce,原型链污染,属性注入,deep,set_,__class__,__init__,proto,class pollution,深度设置,递归合并,globals,配置污染,cookie,octal,八进制,bypass,绕过,waf","category":"exploit"}

Python 原型链污染方法论

深入参考

Flask/Jinja2 完整污染目标清单 → references/flask-jinja2-targets.md
Phase 3A-3I 详细利用 Payload 与 Phase 4 高级链 → references/exploitation-payloads.md
pydash 路径过滤绕过 + Cookie 八进制绕过 → references/pydash-bypass.md
Sanic 框架污染链 → references/sanic-pollution-chain.md
完整污染链速查清单 → references/quick-reference.md

Phase 0: 识别污染入口

寻找将用户 JSON 输入递归合并/设置到 Python 对象的代码模式：

入口类型	代码特征	常见接口
自定义 merge 函数	`def merge(src, dst)` + `setattr(dst, k, v)`	POST JSON 配置更新
pydash.set_()	`pydash.set_(obj, path, value)`	API 属性设置
pydash.get()	`pydash.get(obj, path)`	API 属性查询
pydash.invoke()	`pydash.invoke(obj, path, arg)`	API 方法调用
其他深度设置库	`glom`, `box`, 任何 deep-set 实现	配置更新接口

识别信号：

接口接受嵌套 JSON 对象（{"a": {"b": {"c": "value"}}} 格式）
接口接受点分路径字符串（"a.b.c" 格式）
响应头显示 Python/Flask/Werkzeug/uvicorn
页面/源码/requirements.txt 提及 pydash、merge、update

Phase 1: 确认污染可行性

1.1 判断 obj 类型

obj 类型	起步路径	识别方法
自定义类实例	`__init__.__globals__`	直接设 `__init__.__globals__.xxx` 有效
字典 (dict)	`__class__.__init__.__globals__`	需先 `__class__` 跳出字典键值逻辑

1.2 无害探测（不破坏目标）

# merge 函数场景: 嵌套 JSON
curl -X POST http://target/api/merge \
  -H 'Content-Type: application/json' \
  -d '{"__class__": {"__name__": "test"}}'

# pydash.set_ 场景: 点分路径
curl -X POST http://target/api/update \
  -H 'Content-Type: application/json' \
  -d '{"path": "__class__.__name__", "value": "test"}'

# pydash.get 场景: 信息泄露探测
curl -X POST http://target/api/get \
  -H 'Content-Type: application/json' \
  -d '{"path": "__class__"}'

Phase 2: 选择污染目标

决策树

确认 Python 原型链污染可行
├── 目标使用 pydash.invoke()？
│   └── 是 → 直接 RCE（Phase 3A）
├── 目标使用 Flask？
│   ├── 需要提权？ → 污染类属性 is_admin（Phase 3B）
│   ├── 有 session？ → 污染 SECRET_KEY → 伪造 session（Phase 3C）
│   ├── 有 SSTI 但被过滤？ → 污染 Jinja2 定界符（Phase 3D）
│   ├── 有 render_template？ → 污染 searchpath/静态目录（Phase 3E）
│   └── 有 before_first_request？ → 重置 _got_first_request（Phase 3F）
├── 目标有文件上传？
│   ├── 代码调用相对路径命令 → PATH 劫持（Phase 3G）
│   └── 代码有懒加载 import → sys.path 劫持（Phase 3H）
└── 有函数 shell=False 等默认参数？
    └── 污染 __defaults__ / __kwdefaults__（Phase 3I）

各 Phase 的详细利用命令和代码见 references/exploitation-payloads.md

与 SSTI 和反序列化的关系

技术	入口	关系
原型链污染	merge/set_ 接口	本 skill
SSTI	模板注入点	原型链污染可改 Jinja2 定界符绕过 SSTI 过滤
反序列化	pickle/json	SECRET_KEY 被污染后可伪造 session → 触发 pickle 反序列化

三者可组合使用：原型链污染 → 修改 SECRET_KEY → 伪造 session → pickle RCE。

python-prototype-pollution

Python 原型链污染方法论

深入参考

Phase 0: 识别污染入口

Phase 1: 确认污染可行性

1.1 判断 obj 类型

1.2 无害探测（不破坏目标）

Phase 2: 选择污染目标

决策树

推荐攻击顺序

与 SSTI 和反序列化的关系

Python 原型链污染方法论

深入参考

Phase 0: 识别污染入口

Phase 1: 确认污染可行性

1.1 判断 obj 类型

1.2 无害探测（不破坏目标）

Phase 2: 选择污染目标

决策树

推荐攻击顺序

与 SSTI 和反序列化的关系