MEM:全國大學生信息安全競賽—區塊鏈題目分析

作者：Pinging

一、前言

前幾天全國大學生信息安全競賽初賽如期進行，在這次比賽中也看到了區塊鏈題目的身影。所以我將題目拿來進行分析，并為后續的比賽賽題提供一些分析思路。

由于本次比賽我并沒有參加，所以我并沒有Flag等相關信息，但是我拿到了比賽中的相關文件以及合約地址并在此基礎上進行的詳細分析，希望能幫助到進行研究的同學。

二、題目分析

拿到題目后，我們只得到了兩個內容，一個是合約的地址，一個是broken

eventSendFlag(uint256flagnum,stringb64email);functionpayforflag(stringb64email)public{require(balanceOf>=10000);emitSendFlag(1,b64email);}

首先我們看這個合約文件。合約開始定義了兩個mapping變量——balanceOf與gift，之后為構造函數，以及發送flag的事件。當我們調用payforflag函數并傳入使用base64加密的郵件地址之后，需要滿足當前賬戶的余額比10000多。

由這第一手信息我們可以進行一些簡單的猜想。這道題目需要領自己的余額大于10000，只有這樣才能購買flag。這也是很常見的題目類型。而這個題目十分設計的還是十分巧妙的，我們接著向下看。

深圳全國首次在預付式經營領域應用數字人民幣:金色財經報道，6月26日“深圳預付式經營領域應用數字人民幣試點推廣啟動儀式”啟動，深圳先行先試在預付式經營領域應用數字人民幣，全國范圍內尚屬首次。中國人民銀行深圳市中心支行有關負責人介紹，在預付式經營治理中引入數字人民幣，實際上就是采用數字人民幣智能合約進行預付資金管理。（深圳發布）[2023/6/27 22:01:47]

根據上面的合約代碼，我們并不能得到更多的有用信息。然而此時我們就需要利用合約地址來進一步分析。

此處合約地址為：0x455541c3e9179a6cd8C418142855d894e11A288c。

我們訪問公鏈信息看看是否能夠訪問到有價值的信息：

發現出題人并沒有公開源代碼，只有ABI碼，此時我們只能根據此來進行合約逆向來尋找更有用的解題思路。

https://ethervm

varvar0=msg

var1=0x009c;func_01DC();stop();}elseif(var0==0x66d16cc3){//Dispatchtableentryforprofit()var1=msg

var1=0x009c;profit();stop();}elseif(var0==0x6bc344bc){//Dispatchtableentryfor0x6bc344bc(unknown)var1=msg

安倍晉三：將緊急狀態令擴散至全國:日本首相安倍晉三宣布將緊急狀態令擴散至全國，緊急狀態令將持續至5月6日。[2020/4/16]

vartemp0=memory;vartemp1=msg

elseif(var0==0x70a08231){//DispatchtableentryforbalanceOf(address)var1=msg

var1=0x013a;var2=msg

elseif(var0==0x7ce7c990){//Dispatchtableentryfortransfer2(address,uint256)var1=msg

var1=0x009c;var2=msg

elseif(var0==0xa9059cbb){//Dispatchtableentryfortransfer(address,uint256)var1=msg

var1=0x009c;var2=msg

elseif(var0==0xcbfc4bce){//Dispatchtableentryfor0xcbfc4bce(unknown)var1=msg

var1=0x013a;var2=msg

現場 | “BSN第一次開發者大賽全國啟動儀式”在海南舉行:金色財經現場報道，12月6日，由海南省工業和信息化廳主辦，海南生態軟件園及火幣中國承辦的“海南自貿港數字經濟和區塊鏈國際合作論壇”在海南省海口市舉行。由中國移動、中國銀聯、火幣中國、紅棗科技舉辦的“BSN第一次開發者大賽全國啟動儀式”在海南舉行，大賽的主題是“傳統信息化系統鏈改方案”，核心目的是向廣大開發者普及區塊鏈知識，提供開發交流機會，促進開發者創新創業以及為BSN培養合格開發者。[2019/12/6]

else{revert(memory);}}//0x66d16cc3函數空投函數？？functionfunc_01DC(){memory=msg

memory=msg

//利潤函數：functionprofit(){memory=msg

memory=msg

memory=msg

functionfunc_0278(vararg0){memory=msg

varvar0=0xb1bc9a9c599feac73a94c3ba415fa0b75cbe44496bfda818a9b4a689efb7adba;varvar1=0x01;vartemp0=arg0;varvar2=temp0;vartemp1=memory;varvar3=temp1;memory=var1;vartemp2=var30x20;varvar4=temp2;vartemp3=var40x20;memory=temp3-var3;memory=memory;varvar5=temp30x20;varvar7=memory;varvar6=var20x20;varvar8=var7;varvar9=var5;varvar10=var6;varvar11=0x00;if(var11>=var8){label_02FD:vartemp4=var7;var5=temp4var5;var6=temp4&0x1f;if(!var6){vartemp5=memory;log(memory,]);return;}else{vartemp6=var6;vartemp7=var5-temp6;memory=~(0x0100**(0x20-temp6)-0x01)&memory;vartemp8=memory;log(memory,]);return;}}else{label_02EE:vartemp9=var11;memory=memory;var11=temp90x20;if(var11>=var8){gotolabel_02FD;}else{gotolabel_02EE;}}}functionbalanceOf(vararg0)returns(vararg0){memory=0x00;memory=arg0;returnstorage)];}functiontransfer2(vararg0,vararg1){if(arg1<=0x02){revert(memory);}memory=msg

動態 | 深圳蓮花山開出全國首張電費區塊鏈發票:據深圳晚報報道， 1月31日，在深圳蓮花山“變+充電站”，一電動車司機在南方電網深圳供電局全資子公司——深圳南方和順電動汽車產業服務有限公司（下稱“南方和順”）工作人員的指導下僅用短短1分鐘便開出全國首份充電電費區塊鏈電子發票。[2019/2/1]

memory=msg

memory=msg

functiontransfer(vararg0,vararg1){if(arg1<=0x01){revert(memory);}memory=msg

memory=msg

memory=msg

functionfunc_0417(vararg0)returns(vararg0){memory=0x01;memory=arg0;returnstorage)];}}

之后我們針對此逆向后的代碼進行分析。

我們經過分析發現了如下的public函數：

很明顯這是代幣合約，并且可以進行轉賬。而此代碼中擁有兩個轉賬函數。并且可以查看余額。

我們具體根據代碼對函數詳細分析：

首先我們分析編號為0x652e9d91的func_01DC()函數。

全國政協委員王鵬杰：探討建立國家層面的區塊鏈數字資產交易平臺:全國政協委員王鵬杰提出開展區塊鏈數字資產項目“核準制”監管，推行個人區塊鏈賬戶“實名制”認證，做好區塊鏈數字資產投資者的教育工作等建議。此外“還要探索建立國家層面的區塊鏈數字資產交易平臺。”王鵬杰建議在健全國內相關法律法規后，在央行和證監會等部門的統一協作下，成立受監管的、高效廉潔的區塊鏈數字資產交易平臺，為企業募資和投資者資產增值提供正規渠道。[2018/3/3]

首先合約將內存切換到0x01位置，此處為：mapping(address=>uint)publicgift;

memory=msg

不知用戶是否發現，我們就看到了漏洞點了，這是一個典型的溢出漏洞。

根據作者給出的代碼，我們發現其具體余額是使用uint定義的，由于uint的位數是有限的，并且其不支持負數。所以當其負數溢出時就會變成一個很大的正數。

而根據我們的transfer2函數內容，我們知道：require(balance(msg.sender)-arg1>=0);。此句進行判斷的時候是將用戶余額減去一個arg1來判斷是否大于0的。而如果arg1設置一個比較大的數，那么balance(msg.sender)-arg1就會溢出為一個非常大的數，此時就成功繞過了檢測并且轉賬大量的代幣。

所以我們可以利用此處的整數溢出來進行題目求解，然而在分析的過程中我又發現了另一個解法。

如果做題人沒有發現此處的漏洞點，我們可以利用常規做法來進行求解。

根據給出的flag函數我們知道，我們只需要余額>10000即可，那么我們可以發現，我們的profit函數可以給我們不斷的新增錢。

根據我們的分析，我們需要令合約余額==1并且gitf==1，此時即可調用profit()來將余額，調用后余額為2，gift為1。這時候將余額轉給第二個賬戶，余額就又變成1了，就又可以調用profit()函數。這樣不斷給第二個用戶轉賬，轉賬10000次即可。

三、漏洞利用技巧

此處我們介紹漏洞利用的技巧。

首先我們需要擁有兩個錢包地址。

此時我們令Addr1調用func_01DC()函數領取1個代幣以及1個gift。

之后我們調用profit領取一個代幣。此時余額為2，gift為1。

由于transfer2需要余額大于2才能調用，所以我們首先令Addr2同樣執行上面的兩步。此時兩個錢包均有余額為2。

這時候Adde1調用transfer給Addr2轉賬兩個代幣，此時Addr余額為0，Addr2為4。

之后Addr2就可以調用transfer2給Adde1轉賬一個非常大的金額。達到溢出效果。此時Addr1與Addr2均擁有了大量的代幣。任意地址均可以調用flag函數。

具體的交易日志如下：

此時flag就被調用發送到用戶賬戶上了。

四、總結

本次題目非常巧妙，如果后面的同學想直接查看交易日志是非常難通過一個賬戶來進行跟蹤的。并且本題目沒有公布合約，所以考驗逆向能力。但是只要逆出來后就是一道比較簡單的題目，沒有完全逆出來的同學也可以使用常規做法進行不斷轉賬來使余額滿足要求。希望本文對大家之后的研究有所幫助。歡迎討論。

Tags：MEMEMOMORMEMORIGHT WING MEMELemoChainMORPHO幣B4 Flash Memory

萊特幣最新價格