作者:Pinging
一、前言
前幾天全國大學生信息安全競賽初賽如期進行,在這次比賽中也看到了區塊鏈題目的身影。所以我將題目拿來進行分析,并為后續的比賽賽題提供一些分析思路。
由于本次比賽我并沒有參加,所以我并沒有Flag等相關信息,但是我拿到了比賽中的相關文件以及合約地址并在此基礎上進行的詳細分析,希望能幫助到進行研究的同學。
二、題目分析
拿到題目后,我們只得到了兩個內容,一個是合約的地址,一個是broken
eventSendFlag(uint256flagnum,stringb64email);functionpayforflag(stringb64email)public{require(balanceOf>=10000);emitSendFlag(1,b64email);}
首先我們看這個合約文件。合約開始定義了兩個mapping變量——balanceOf與gift,之后為構造函數,以及發送flag的事件。當我們調用payforflag函數并傳入使用base64加密的郵件地址之后,需要滿足當前賬戶的余額比10000多。
由這第一手信息我們可以進行一些簡單的猜想。這道題目需要領自己的余額大于10000,只有這樣才能購買flag。這也是很常見的題目類型。而這個題目十分設計的還是十分巧妙的,我們接著向下看。
北京經開區啟用全國首單數字人民幣自動駕駛新場景:金色財經報道,北京經開區數字人民幣再添新應用場景,進一步推動北京數字人民幣冬奧全場景試點應用,迎來了全國數字人民幣支付的首個自動駕駛出行服務訂單,“解鎖”了數字人民幣應用新場景。目前,蘿卜快跑數字人民幣專屬活動已正式上線,廣大群眾可以在北京經開區使用數字人民幣體驗自動駕駛乘坐樂趣。[2022/2/2 9:27:46]
根據上面的合約代碼,我們并不能得到更多的有用信息。然而此時我們就需要利用合約地址來進一步分析。
此處合約地址為:0x455541c3e9179a6cd8C418142855d894e11A288c。
我們訪問公鏈信息看看是否能夠訪問到有價值的信息:
發現出題人并沒有公開源代碼,只有ABI碼,此時我們只能根據此來進行合約逆向來尋找更有用的解題思路。
https://ethervm
varvar0=msg
var1=0x009c;func_01DC();stop();}elseif(var0==0x66d16cc3){//Dispatchtableentryforprofit()var1=msg
var1=0x009c;profit();stop();}elseif(var0==0x6bc344bc){//Dispatchtableentryfor0x6bc344bc(unknown)var1=msg
聲音 | 工信部李鳴:正在籌建全國區塊鏈和分布式記賬技術標準化委員會:工信部下屬的中國電子技術標準化研究院區塊鏈研究室主任李鳴在接受采訪時表示,中國的區塊鏈應用走在世界前列,已是百花齊放的態勢。不僅如此,當前中國的區塊鏈應用發展迅猛,盡管底層技術平臺仍對國外有依賴,但整體水平已躋身國際前列,在區塊鏈國際標準的十余個標準立項中,中國已經貢獻了兩個重要標準。李鳴認為,標準是行業發展的基石,是在一定范圍內形成的共識。標準可以讓更多的人能用更方便的方式使用復雜的技術,加速行業發展,造福整個社會。李鳴還透露,目前正在籌建全國區塊鏈和分布式記賬技術標準化技術委員會,首個區塊鏈國家標準也正著手研制。[2019/11/8]
vartemp0=memory;vartemp1=msg
elseif(var0==0x70a08231){//DispatchtableentryforbalanceOf(address)var1=msg
var1=0x013a;var2=msg
elseif(var0==0x7ce7c990){//Dispatchtableentryfortransfer2(address,uint256)var1=msg
var1=0x009c;var2=msg
聲音 | 全國政協委員張連起:運用區塊鏈等技術推動公共服務區域一體化:據中國經營網報道,全國政協委員張連起在關于“運用數字技術推動公共服務區域一體化”的提案中提到,長三角作為中國發展水平較高的地區,應充分調動政府、企業的積極性,利用區塊鏈、人工智能、安全、物聯網、云計算等先進技術,發揮“技術+模式”對經濟、政務的引領帶動作用,為全國其他區域的公共服務一體化探索出一條數字化的發展路徑。[2019/3/6]
elseif(var0==0xa9059cbb){//Dispatchtableentryfortransfer(address,uint256)var1=msg
var1=0x009c;var2=msg
elseif(var0==0xcbfc4bce){//Dispatchtableentryfor0xcbfc4bce(unknown)var1=msg
var1=0x013a;var2=msg
else{revert(memory);}}//0x66d16cc3函數空投函數??functionfunc_01DC(){memory=msg
memory=msg
//利潤函數:functionprofit(){memory=msg
動態 | 俄羅斯扣押全國比特幣ATM機 進行檢查:Forklog消息,據俄羅斯媒體RBK周五報道,俄羅斯目前在全國范圍內對比特幣ATM機進行扣押,但并未做出任何解釋。俄羅斯公司BBFpro首席執行官Artem Bedarev表示,他唯一知道的是,根據俄羅斯央行的通知,該公司的比特幣ATM機已在俄羅斯總檢察長辦公室的指示下被收繳。他說:“我被口頭告知,檢查至少需要6個月的時間,自動取款機在完成檢查前是不會被歸還的”。[2018/9/2]
memory=msg
memory=msg
functionfunc_0278(vararg0){memory=msg
varvar0=0xb1bc9a9c599feac73a94c3ba415fa0b75cbe44496bfda818a9b4a689efb7adba;varvar1=0x01;vartemp0=arg0;varvar2=temp0;vartemp1=memory;varvar3=temp1;memory=var1;vartemp2=var30x20;varvar4=temp2;vartemp3=var40x20;memory=temp3-var3;memory=memory;varvar5=temp30x20;varvar7=memory;varvar6=var20x20;varvar8=var7;varvar9=var5;varvar10=var6;varvar11=0x00;if(var11>=var8){label_02FD:vartemp4=var7;var5=temp4var5;var6=temp4&0x1f;if(!var6){vartemp5=memory;log(memory,]);return;}else{vartemp6=var6;vartemp7=var5-temp6;memory=~(0x0100**(0x20-temp6)-0x01)&memory;vartemp8=memory;log(memory,]);return;}}else{label_02EE:vartemp9=var11;memory=memory;var11=temp90x20;if(var11>=var8){gotolabel_02FD;}else{gotolabel_02EE;}}}functionbalanceOf(vararg0)returns(vararg0){memory=0x00;memory=arg0;returnstorage)];}functiontransfer2(vararg0,vararg1){if(arg1<=0x02){revert(memory);}memory=msg
全國政協委員楊成長:上海可通過推進區塊鏈等來補齊國際金融中心建設“短板”:全國政協委員、申銀萬國證券研究所股份有限公司首席經濟學家楊成長今日發文表示,上海需要補齊國際金融中心建設“短板”,可以通過提升科技金融和金融科技的全球影響力等方面入手,推進人工智能、區塊鏈、云計算、大數據、移動互聯等前沿科技成果在金融市場上的運用,讓金融科技成為上海國際金融中心的重要加分項。[2018/4/25]
memory=msg
memory=msg
functiontransfer(vararg0,vararg1){if(arg1<=0x01){revert(memory);}memory=msg
memory=msg
memory=msg
functionfunc_0417(vararg0)returns(vararg0){memory=0x01;memory=arg0;returnstorage)];}}
之后我們針對此逆向后的代碼進行分析。
我們經過分析發現了如下的public函數:
很明顯這是代幣合約,并且可以進行轉賬。而此代碼中擁有兩個轉賬函數。并且可以查看余額。
我們具體根據代碼對函數詳細分析:
首先我們分析編號為0x652e9d91的func_01DC()函數。
首先合約將內存切換到0x01位置,此處為:mapping(address=>uint)publicgift;
memory=msg
不知用戶是否發現,我們就看到了漏洞點了,這是一個典型的溢出漏洞。
根據作者給出的代碼,我們發現其具體余額是使用uint定義的,由于uint的位數是有限的,并且其不支持負數。所以當其負數溢出時就會變成一個很大的正數。
而根據我們的transfer2函數內容,我們知道:require(balance(msg.sender)-arg1>=0);。此句進行判斷的時候是將用戶余額減去一個arg1來判斷是否大于0的。而如果arg1設置一個比較大的數,那么balance(msg.sender)-arg1就會溢出為一個非常大的數,此時就成功繞過了檢測并且轉賬大量的代幣。
所以我們可以利用此處的整數溢出來進行題目求解,然而在分析的過程中我又發現了另一個解法。
如果做題人沒有發現此處的漏洞點,我們可以利用常規做法來進行求解。
根據給出的flag函數我們知道,我們只需要余額>10000即可,那么我們可以發現,我們的profit函數可以給我們不斷的新增錢。
根據我們的分析,我們需要令合約余額==1并且gitf==1,此時即可調用profit()來將余額,調用后余額為2,gift為1。這時候將余額轉給第二個賬戶,余額就又變成1了,就又可以調用profit()函數。這樣不斷給第二個用戶轉賬,轉賬10000次即可。
三、漏洞利用技巧
此處我們介紹漏洞利用的技巧。
首先我們需要擁有兩個錢包地址。
此時我們令Addr1調用func_01DC()函數領取1個代幣以及1個gift。
之后我們調用profit領取一個代幣。此時余額為2,gift為1。
由于transfer2需要余額大于2才能調用,所以我們首先令Addr2同樣執行上面的兩步。此時兩個錢包均有余額為2。
這時候Adde1調用transfer給Addr2轉賬兩個代幣,此時Addr余額為0,Addr2為4。
之后Addr2就可以調用transfer2給Adde1轉賬一個非常大的金額。達到溢出效果。此時Addr1與Addr2均擁有了大量的代幣。任意地址均可以調用flag函數。
具體的交易日志如下:
此時flag就被調用發送到用戶賬戶上了。
四、總結
本次題目非常巧妙,如果后面的同學想直接查看交易日志是非常難通過一個賬戶來進行跟蹤的。并且本題目沒有公布合約,所以考驗逆向能力。但是只要逆出來后就是一道比較簡單的題目,沒有完全逆出來的同學也可以使用常規做法進行不斷轉賬來使余額滿足要求。希望本文對大家之后的研究有所幫助。歡迎討論。
親愛的用戶: “VOLLAR強勢登陸IDAX,交易VOLLAR返50%手續費!”活動已結束,所有獎勵已發放至個人賬戶,請所有符合獎勵條件的用戶在個人賬戶查看分發結果.
1900/1/1 0:00:00金色財經比特幣5月8日訊相比于一個月之前,比特大陸自有比特幣挖礦業務算力已經減少了88%,表明他們似乎“有意”消減產能.
1900/1/1 0:00:00文章系金色財經專欄作者供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00關于HDCC 升維鏈植根于實際場景應用領域,通過搭建電商平臺、整合電子商務資源,實現各項業務拓展,包括電商APP開發、物流項目、媒體廣告、中介、消費品溯源、各類金融業務、供應鏈管理等其他內容.
1900/1/1 0:00:00據AMBCrypto消息,加密領域法律專家、AndersonKill華盛頓特區辦事處合伙人StephenPalley最近接受采訪時談到缺乏與加密領域規則相關的信息.
1900/1/1 0:00:00清華大學朱巖:中國是區塊鏈生長的最好土壤 ◇金色盤面 據huobiglobal數據顯示,BTC最近成交價36418.59元,24小時變化0.19%;ETH最近成交價1082.19元.
1900/1/1 0:00:00