作者:Pinging
一、前言
前幾天全國大學生信息安全競賽初賽如期進行,在這次比賽中也看到了區塊鏈題目的身影。所以我將題目拿來進行分析,并為后續的比賽賽題提供一些分析思路。
由于本次比賽我并沒有參加,所以我并沒有Flag等相關信息,但是我拿到了比賽中的相關文件以及合約地址并在此基礎上進行的詳細分析,希望能幫助到進行研究的同學。
二、題目分析
拿到題目后,我們只得到了兩個內容,一個是合約的地址,一個是broken
eventSendFlag(uint256flagnum,stringb64email);functionpayforflag(stringb64email)public{require(balanceOf>=10000);emitSendFlag(1,b64email);}
首先我們看這個合約文件。合約開始定義了兩個mapping變量——balanceOf與gift,之后為構造函數,以及發送flag的事件。當我們調用payforflag函數并傳入使用base64加密的郵件地址之后,需要滿足當前賬戶的余額比10000多。
由這第一手信息我們可以進行一些簡單的猜想。這道題目需要領自己的余額大于10000,只有這樣才能購買flag。這也是很常見的題目類型。而這個題目十分設計的還是十分巧妙的,我們接著向下看。
全國首單農交所數字人民幣分紅落地天津:金色財經消息,近日,隨著天津農村產權交易所“一鍵分紅”按鈕的確認,天津市武清區梅廠鎮南任莊股份經濟合作社股權分紅大會上村民們舉著手機興奮地說。南任莊股份經濟合作社上半年統一經營土地實現125700元收益,首次以數字人民幣形式分到了全村419位成員手中。這是全國首次依托農村產權交易所以數字人民幣形式進行村集體收益分配,也是數字金融賦能集體經濟發展、助力鄉村全面振興、推進共同富裕的一次重要探索。(中國新聞網)[2022/9/3 13:06:07]
根據上面的合約代碼,我們并不能得到更多的有用信息。然而此時我們就需要利用合約地址來進一步分析。
此處合約地址為:0x455541c3e9179a6cd8C418142855d894e11A288c。
我們訪問公鏈信息看看是否能夠訪問到有價值的信息:
發現出題人并沒有公開源代碼,只有ABI碼,此時我們只能根據此來進行合約逆向來尋找更有用的解題思路。
https://ethervm
varvar0=msg
var1=0x009c;func_01DC();stop();}elseif(var0==0x66d16cc3){//Dispatchtableentryforprofit()var1=msg
全國政協委員林武:應籌劃“大灣區數字貨幣先行區”:11月8日消息,全國政協委員、中山大學粵港澳發展研究院理事長林武在第三屆粵港澳大灣區金融發展論壇上表示, 應籌劃“大灣區數字貨幣先行區”,他認為數字化金融服務體系創新有助于提升大灣區人民幣的國際化水平。(南方都市報)[2020/11/8 12:00:54]
var1=0x009c;profit();stop();}elseif(var0==0x6bc344bc){//Dispatchtableentryfor0x6bc344bc(unknown)var1=msg
vartemp0=memory;vartemp1=msg
elseif(var0==0x70a08231){//DispatchtableentryforbalanceOf(address)var1=msg
var1=0x013a;var2=msg
elseif(var0==0x7ce7c990){//Dispatchtableentryfortransfer2(address,uint256)var1=msg
var1=0x009c;var2=msg
elseif(var0==0xa9059cbb){//Dispatchtableentryfortransfer(address,uint256)var1=msg
報告:2019年浙江區塊鏈技術繼續領先全國:5月12日,《浙江省互聯網發展報告2019》發布,報告指出,截至2019年底,浙江省網民規模達到4729.8萬人,互聯網普及率為80.9%。2019年,浙江區塊鏈技術繼續領先全國,據“2019年全球區塊鏈企業發明專利百強排行榜”發布,螞蟻金服以1005件專利位居全球第一。全省數字經濟核心產業實現增加值6228.94億元,同比增長14.5%。截至2019年底,“浙里辦”實名注冊用戶超過3000萬,網上政務服務能力各項指標走在全國前列。“互聯網+醫療”方面,浙江已有110萬群眾領取電子“健康醫保卡”,互聯網醫院平臺已有343家醫院接入。[2020/5/12]
var1=0x009c;var2=msg
elseif(var0==0xcbfc4bce){//Dispatchtableentryfor0xcbfc4bce(unknown)var1=msg
var1=0x013a;var2=msg
else{revert(memory);}}//0x66d16cc3函數空投函數??functionfunc_01DC(){memory=msg
memory=msg
//利潤函數:functionprofit(){memory=msg
動態 | 全國首個智慧法院實驗室落戶廣州,設有區塊鏈研發實驗功能區:9月10日上午,最高人民法院智慧法院(廣東)實驗室在廣東省高級人民法院正式啟用,據悉,這是全國首個智慧法院實驗室。該實驗室集“研發、測試、展示、培訓”四大功能于一體,設有訴訟服務、辦公辦案、線上庭審、智慧執行、區塊鏈研發、大數據管理等六大實驗功能區,為訴訟服務、審判執行、司法管理提供綜合試驗場所。(南方日報訊)[2019/9/11]
memory=msg
memory=msg
functionfunc_0278(vararg0){memory=msg
varvar0=0xb1bc9a9c599feac73a94c3ba415fa0b75cbe44496bfda818a9b4a689efb7adba;varvar1=0x01;vartemp0=arg0;varvar2=temp0;vartemp1=memory;varvar3=temp1;memory=var1;vartemp2=var30x20;varvar4=temp2;vartemp3=var40x20;memory=temp3-var3;memory=memory;varvar5=temp30x20;varvar7=memory;varvar6=var20x20;varvar8=var7;varvar9=var5;varvar10=var6;varvar11=0x00;if(var11>=var8){label_02FD:vartemp4=var7;var5=temp4var5;var6=temp4&0x1f;if(!var6){vartemp5=memory;log(memory,]);return;}else{vartemp6=var6;vartemp7=var5-temp6;memory=~(0x0100**(0x20-temp6)-0x01)&memory;vartemp8=memory;log(memory,]);return;}}else{label_02EE:vartemp9=var11;memory=memory;var11=temp90x20;if(var11>=var8){gotolabel_02FD;}else{gotolabel_02EE;}}}functionbalanceOf(vararg0)returns(vararg0){memory=0x00;memory=arg0;returnstorage)];}functiontransfer2(vararg0,vararg1){if(arg1<=0x02){revert(memory);}memory=msg
動態 | 全國首個農商行區塊鏈對賬項目簽約:5月9日,中證瑞通(上海)科技有限公司與邳州農商銀行“區塊鏈+金融科技”戰略合作協議簽約儀式在邳州農商銀行總部舉行。 中證科技與邳州農商行經過多次研討,共同完成了銀企一體化區塊鏈解決方案,方案基于中證科技在區塊鏈、大數據及人工智能三方面的技術能力,為邳州農商行打造中小企業區塊鏈化財務管理、AI 風控分析引擎、企業財務分析引擎三大系統服務。其作用是把中小企業財務數據上鏈實現數據透明可信,通過人工智能提升風控效率及準確性,為后續資產數字化、可信化打下良好基礎并最終解決中小企業融資難、融資貴問題。 根據本次合作協議,一期的區塊鏈對賬項目,將在今年8月正式上線并取代之前的傳統企業短信對賬系統。[2019/5/22]
memory=msg
memory=msg
functiontransfer(vararg0,vararg1){if(arg1<=0x01){revert(memory);}memory=msg
memory=msg
memory=msg
functionfunc_0417(vararg0)returns(vararg0){memory=0x01;memory=arg0;returnstorage)];}}
之后我們針對此逆向后的代碼進行分析。
我們經過分析發現了如下的public函數:
很明顯這是代幣合約,并且可以進行轉賬。而此代碼中擁有兩個轉賬函數。并且可以查看余額。
我們具體根據代碼對函數詳細分析:
首先我們分析編號為0x652e9d91的func_01DC()函數。
首先合約將內存切換到0x01位置,此處為:mapping(address=>uint)publicgift;
memory=msg
不知用戶是否發現,我們就看到了漏洞點了,這是一個典型的溢出漏洞。
根據作者給出的代碼,我們發現其具體余額是使用uint定義的,由于uint的位數是有限的,并且其不支持負數。所以當其負數溢出時就會變成一個很大的正數。
而根據我們的transfer2函數內容,我們知道:require(balance(msg.sender)-arg1>=0);。此句進行判斷的時候是將用戶余額減去一個arg1來判斷是否大于0的。而如果arg1設置一個比較大的數,那么balance(msg.sender)-arg1就會溢出為一個非常大的數,此時就成功繞過了檢測并且轉賬大量的代幣。
所以我們可以利用此處的整數溢出來進行題目求解,然而在分析的過程中我又發現了另一個解法。
如果做題人沒有發現此處的漏洞點,我們可以利用常規做法來進行求解。
根據給出的flag函數我們知道,我們只需要余額>10000即可,那么我們可以發現,我們的profit函數可以給我們不斷的新增錢。
根據我們的分析,我們需要令合約余額==1并且gitf==1,此時即可調用profit()來將余額,調用后余額為2,gift為1。這時候將余額轉給第二個賬戶,余額就又變成1了,就又可以調用profit()函數。這樣不斷給第二個用戶轉賬,轉賬10000次即可。
三、漏洞利用技巧
此處我們介紹漏洞利用的技巧。
首先我們需要擁有兩個錢包地址。
此時我們令Addr1調用func_01DC()函數領取1個代幣以及1個gift。
之后我們調用profit領取一個代幣。此時余額為2,gift為1。
由于transfer2需要余額大于2才能調用,所以我們首先令Addr2同樣執行上面的兩步。此時兩個錢包均有余額為2。
這時候Adde1調用transfer給Addr2轉賬兩個代幣,此時Addr余額為0,Addr2為4。
之后Addr2就可以調用transfer2給Adde1轉賬一個非常大的金額。達到溢出效果。此時Addr1與Addr2均擁有了大量的代幣。任意地址均可以調用flag函數。
具體的交易日志如下:
此時flag就被調用發送到用戶賬戶上了。
四、總結
本次題目非常巧妙,如果后面的同學想直接查看交易日志是非常難通過一個賬戶來進行跟蹤的。并且本題目沒有公布合約,所以考驗逆向能力。但是只要逆出來后就是一道比較簡單的題目,沒有完全逆出來的同學也可以使用常規做法進行不斷轉賬來使余額滿足要求。希望本文對大家之后的研究有所幫助。歡迎討論。
今日共有6位幣圈分析師對BTC明日走勢進行了判斷,其中位1看漲3位看平2位看跌。1.看漲@幣世界多空指南針:1小時操作建議為強烈買入,4小時操作建議為強烈買入.
1900/1/1 0:00:00文章系金色財經專欄作者供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00據Cointelegraph消息,莫斯科當局正計劃在2019年6月下旬的大學學生會選舉中試行基于區塊鏈的電子投票,建立該市市長選舉可能下一步適用的方法.
1900/1/1 0:00:00火星財經APP一線報道,俄羅斯經濟學家VladislavGinko堅持認為,美國對俄羅斯的制裁會在明年年初推動比特幣突破200萬美元.
1900/1/1 0:00:00DragonExSupportstheLoopring(LRC)SmartContractUpgrade 2019-05-07 DearCommunities.
1900/1/1 0:00:00與“先行者”同行 AdamWinnick|MediciLA組織者在去年我舉辦首屆年會之前,加密貨幣價格飆升.
1900/1/1 0:00:00