EMO:全國大學生信息安全競賽—區塊鏈題目分析_Armor NXM

作者：Pinging

一、前言

前幾天全國大學生信息安全競賽初賽如期進行，在這次比賽中也看到了區塊鏈題目的身影。所以我將題目拿來進行分析，并為后續的比賽賽題提供一些分析思路。

由于本次比賽我并沒有參加，所以我并沒有Flag等相關信息，但是我拿到了比賽中的相關文件以及合約地址并在此基礎上進行的詳細分析，希望能幫助到進行研究的同學。

二、題目分析

拿到題目后，我們只得到了兩個內容，一個是合約的地址，一個是broken

eventSendFlag(uint256flagnum,stringb64email);functionpayforflag(stringb64email)public{require(balanceOf>=10000);emitSendFlag(1,b64email);}

首先我們看這個合約文件。合約開始定義了兩個mapping變量——balanceOf與gift，之后為構造函數，以及發送flag的事件。當我們調用payforflag函數并傳入使用base64加密的郵件地址之后，需要滿足當前賬戶的余額比10000多。

由這第一手信息我們可以進行一些簡單的猜想。這道題目需要領自己的余額大于10000，只有這樣才能購買flag。這也是很常見的題目類型。而這個題目十分設計的還是十分巧妙的，我們接著向下看。

全國首個有線電視數字人民幣支付平臺落地蘇州:12月11日消息，第二屆“雙12蘇州購物節”來臨之際，江蘇有線蘇州分公司推出“有線電視惠民行動”，正式上線數字人民幣支付平臺。這也標志著全國首個有線電視數字人民幣支付平臺順利落地蘇州，數字人民幣的試點應用領域進一步擴大。（蘇州新聞網）[2021/12/11 7:33:08]

根據上面的合約代碼，我們并不能得到更多的有用信息。然而此時我們就需要利用合約地址來進一步分析。

此處合約地址為：0x455541c3e9179a6cd8C418142855d894e11A288c。

我們訪問公鏈信息看看是否能夠訪問到有價值的信息：

發現出題人并沒有公開源代碼，只有ABI碼，此時我們只能根據此來進行合約逆向來尋找更有用的解題思路。

https://ethervm

varvar0=msg

var1=0x009c;func_01DC();stop();}elseif(var0==0x66d16cc3){//Dispatchtableentryforprofit()var1=msg

var1=0x009c;profit();stop();}elseif(var0==0x6bc344bc){//Dispatchtableentryfor0x6bc344bc(unknown)var1=msg

西安啟動全國首個數字人民幣出租車收款試點:金色財經報道，按照《陜西省西安市數字人民幣試點工作實施方案》要求，西安市出租汽車行業聯合西安銀行啟動了數字人民幣收款試點工作，實現了全國同行業內首個出租車使用數字人民幣收款的場景。[2021/9/28 17:12:36]

vartemp0=memory;vartemp1=msg

elseif(var0==0x70a08231){//DispatchtableentryforbalanceOf(address)var1=msg

var1=0x013a;var2=msg

elseif(var0==0x7ce7c990){//Dispatchtableentryfortransfer2(address,uint256)var1=msg

var1=0x009c;var2=msg

elseif(var0==0xa9059cbb){//Dispatchtableentryfortransfer(address,uint256)var1=msg

var1=0x009c;var2=msg

elseif(var0==0xcbfc4bce){//Dispatchtableentryfor0xcbfc4bce(unknown)var1=msg

民建佛山市委會：積極將佛山打造為有全國影響力的區塊鏈應用示范基地:近日民建佛山市委會向市政協十二屆四次會議提交大會發言材料，建議佛山積極打造有全國影響力的區塊鏈應用示范基地。民建佛山市委會認為，在今年全國各地抗擊新冠肺炎疫情過程中，區塊鏈技術在慈善捐贈、物資流轉、疫情防控、企業復工等方面發揮了重要作用。佛山要重視推進區塊鏈技術多領域應用，積極打造有全國影響力的區塊鏈應用示范基地。（新浪）[2020/6/17]

var1=0x013a;var2=msg

else{revert(memory);}}//0x66d16cc3函數空投函數？？functionfunc_01DC(){memory=msg

memory=msg

//利潤函數：functionprofit(){memory=msg

memory=msg

memory=msg

functionfunc_0278(vararg0){memory=msg

varvar0=0xb1bc9a9c599feac73a94c3ba415fa0b75cbe44496bfda818a9b4a689efb7adba;varvar1=0x01;vartemp0=arg0;varvar2=temp0;vartemp1=memory;varvar3=temp1;memory=var1;vartemp2=var30x20;varvar4=temp2;vartemp3=var40x20;memory=temp3-var3;memory=memory;varvar5=temp30x20;varvar7=memory;varvar6=var20x20;varvar8=var7;varvar9=var5;varvar10=var6;varvar11=0x00;if(var11>=var8){label_02FD:vartemp4=var7;var5=temp4var5;var6=temp4&0x1f;if(!var6){vartemp5=memory;log(memory,]);return;}else{vartemp6=var6;vartemp7=var5-temp6;memory=~(0x0100**(0x20-temp6)-0x01)&memory;vartemp8=memory;log(memory,]);return;}}else{label_02EE:vartemp9=var11;memory=memory;var11=temp90x20;if(var11>=var8){gotolabel_02FD;}else{gotolabel_02EE;}}}functionbalanceOf(vararg0)returns(vararg0){memory=0x00;memory=arg0;returnstorage)];}functiontransfer2(vararg0,vararg1){if(arg1<=0x02){revert(memory);}memory=msg

全國政協委員：建議就行政復議案件流程運用區塊鏈等技術做出專條規定:在6月5日召開的全國政協雙周協商座談會上，全國政協委員、浙江省杭州市政協副主席謝雙成呼吁以數字賦能行政復議體制改革，加快“智慧復議”建設。結合杭州市目前正在進行的“智慧復議”平臺（二期）建設，他同時建議：本次修法就行政復議案件立案、審理、裁決、執行、監督、問責、評價制度的電子化、網絡化、大數據、云技術、人工智能、區塊鏈等方法技術運用做出專節或專條規定。（人民政協報）[2020/6/6]

memory=msg

memory=msg

functiontransfer(vararg0,vararg1){if(arg1<=0x01){revert(memory);}memory=msg

memory=msg

memory=msg

functionfunc_0417(vararg0)returns(vararg0){memory=0x01;memory=arg0;returnstorage)];}}

之后我們針對此逆向后的代碼進行分析。

我們經過分析發現了如下的public函數：

很明顯這是代幣合約，并且可以進行轉賬。而此代碼中擁有兩個轉賬函數。并且可以查看余額。

動態 | 貴陽區塊鏈發展水平排名全國第五:據貴陽日報消息，日前，賽迪區塊鏈研究院發布《中國城市區塊鏈發展水平評估報告（2018）》，貴陽入選2018年中國城市區塊鏈發展25強，排名第五。該報告綜合考慮城市分布、行政地位、經濟和科技發展水平，選取具有政策優勢、經濟潛力且科技較為領先的45座重點城市作為評估對象，從政策環境、科研實力、產業基礎、資金支持四個方面進行評估，并評選出中國城市區塊鏈發展25強，貴陽憑借近年在區塊鏈政策領域的多項重大舉措以及在推動區塊鏈產業發展上取得較大成果入選。[2018/12/25]

我們具體根據代碼對函數詳細分析：

首先我們分析編號為0x652e9d91的func_01DC()函數。

首先合約將內存切換到0x01位置，此處為：mapping(address=>uint)publicgift;

memory=msg

不知用戶是否發現，我們就看到了漏洞點了，這是一個典型的溢出漏洞。

根據作者給出的代碼，我們發現其具體余額是使用uint定義的，由于uint的位數是有限的，并且其不支持負數。所以當其負數溢出時就會變成一個很大的正數。

而根據我們的transfer2函數內容，我們知道：require(balance(msg.sender)-arg1>=0);。此句進行判斷的時候是將用戶余額減去一個arg1來判斷是否大于0的。而如果arg1設置一個比較大的數，那么balance(msg.sender)-arg1就會溢出為一個非常大的數，此時就成功繞過了檢測并且轉賬大量的代幣。

所以我們可以利用此處的整數溢出來進行題目求解，然而在分析的過程中我又發現了另一個解法。

如果做題人沒有發現此處的漏洞點，我們可以利用常規做法來進行求解。

根據給出的flag函數我們知道，我們只需要余額>10000即可，那么我們可以發現，我們的profit函數可以給我們不斷的新增錢。

根據我們的分析，我們需要令合約余額==1并且gitf==1，此時即可調用profit()來將余額，調用后余額為2，gift為1。這時候將余額轉給第二個賬戶，余額就又變成1了，就又可以調用profit()函數。這樣不斷給第二個用戶轉賬，轉賬10000次即可。

三、漏洞利用技巧

此處我們介紹漏洞利用的技巧。

首先我們需要擁有兩個錢包地址。

此時我們令Addr1調用func_01DC()函數領取1個代幣以及1個gift。

之后我們調用profit領取一個代幣。此時余額為2，gift為1。

由于transfer2需要余額大于2才能調用，所以我們首先令Addr2同樣執行上面的兩步。此時兩個錢包均有余額為2。

這時候Adde1調用transfer給Addr2轉賬兩個代幣，此時Addr余額為0，Addr2為4。

之后Addr2就可以調用transfer2給Adde1轉賬一個非常大的金額。達到溢出效果。此時Addr1與Addr2均擁有了大量的代幣。任意地址均可以調用flag函數。

具體的交易日志如下：

此時flag就被調用發送到用戶賬戶上了。

四、總結

本次題目非常巧妙，如果后面的同學想直接查看交易日志是非常難通過一個賬戶來進行跟蹤的。并且本題目沒有公布合約，所以考驗逆向能力。但是只要逆出來后就是一道比較簡單的題目，沒有完全逆出來的同學也可以使用常規做法進行不斷轉賬來使余額滿足要求。希望本文對大家之后的研究有所幫助。歡迎討論。

Tags：MEMOMEMMOREMOMemoparkAIMEMEArmor NXMFREEMOON價格

Uniswap