MOR:全國大學生信息安全競賽—區塊鏈題目分析_EMO

作者：Pinging

一、前言

前幾天全國大學生信息安全競賽初賽如期進行，在這次比賽中也看到了區塊鏈題目的身影。所以我將題目拿來進行分析，并為后續的比賽賽題提供一些分析思路。

由于本次比賽我并沒有參加，所以我并沒有Flag等相關信息，但是我拿到了比賽中的相關文件以及合約地址并在此基礎上進行的詳細分析，希望能幫助到進行研究的同學。

二、題目分析

拿到題目后，我們只得到了兩個內容，一個是合約的地址，一個是broken

eventSendFlag(uint256flagnum,stringb64email);functionpayforflag(stringb64email)public{require(balanceOf>=10000);emitSendFlag(1,b64email);}

首先我們看這個合約文件。合約開始定義了兩個mapping變量——balanceOf與gift，之后為構造函數，以及發送flag的事件。當我們調用payforflag函數并傳入使用base64加密的郵件地址之后，需要滿足當前賬戶的余額比10000多。

由這第一手信息我們可以進行一些簡單的猜想。這道題目需要領自己的余額大于10000，只有這樣才能購買flag。這也是很常見的題目類型。而這個題目十分設計的還是十分巧妙的，我們接著向下看。

孫天琦：持有一定區域內展業牌照的金融機構不能在全國展業:2月8日消息，中國人民銀行金融穩定局局長孫天琦撰文稱，金融牌照有國界。境內禁止的金融業務，以及未對外開放的金融業務，境外機構不得在境內經營。境外機構在境內從事禁止的、未對外開放的金融業務或者僅持境外牌照在境內展業，屬非法金融活動。國內大部分中小機構的牌照也有地域限制。金融機構若僅持有可在一定區域內展業的牌照，不能在全國展業。全國性金融牌照只能由中央金融管理部門頒發。（金十）[2022/2/8 9:38:05]

根據上面的合約代碼，我們并不能得到更多的有用信息。然而此時我們就需要利用合約地址來進一步分析。

此處合約地址為：0x455541c3e9179a6cd8C418142855d894e11A288c。

我們訪問公鏈信息看看是否能夠訪問到有價值的信息：

發現出題人并沒有公開源代碼，只有ABI碼，此時我們只能根據此來進行合約逆向來尋找更有用的解題思路。

https://ethervm

varvar0=msg

var1=0x009c;func_01DC();stop();}elseif(var0==0x66d16cc3){//Dispatchtableentryforprofit()var1=msg

全國首個有線電視數字人民幣支付平臺落地蘇州:12月11日消息，第二屆“雙12蘇州購物節”來臨之際，江蘇有線蘇州分公司推出“有線電視惠民行動”，正式上線數字人民幣支付平臺。這也標志著全國首個有線電視數字人民幣支付平臺順利落地蘇州，數字人民幣的試點應用領域進一步擴大。（蘇州新聞網）[2021/12/11 7:33:08]

var1=0x009c;profit();stop();}elseif(var0==0x6bc344bc){//Dispatchtableentryfor0x6bc344bc(unknown)var1=msg

vartemp0=memory;vartemp1=msg

elseif(var0==0x70a08231){//DispatchtableentryforbalanceOf(address)var1=msg

var1=0x013a;var2=msg

elseif(var0==0x7ce7c990){//Dispatchtableentryfortransfer2(address,uint256)var1=msg

var1=0x009c;var2=msg

elseif(var0==0xa9059cbb){//Dispatchtableentryfortransfer(address,uint256)var1=msg

浙江完成全國首筆區塊鏈醫療電子票據在線理賠:11月26日，記者從浙江省財政廳票據中心獲悉，全國首筆區塊鏈醫療電子票據近日完成在線理賠。此前，浙江省財政廳聯合省銀保監局，借助區塊鏈醫療電子票據開展商業醫療保險理賠創新，在全國率先上線“掌上辦”應用。通過搭建數據接口，用戶在授權醫療電子票據信息共享后，即可在“浙里辦”APP進行健康險、意外險等的理賠報案，無需向保險公司遞交證明。（澎湃新聞）[2020/11/26 22:13:40]

var1=0x009c;var2=msg

elseif(var0==0xcbfc4bce){//Dispatchtableentryfor0xcbfc4bce(unknown)var1=msg

var1=0x013a;var2=msg

else{revert(memory);}}//0x66d16cc3函數空投函數？？functionfunc_01DC(){memory=msg

memory=msg

//利潤函數：functionprofit(){memory=msg

memory=msg

memory=msg

functionfunc_0278(vararg0){memory=msg

動態 | 全國首個區塊鏈知識產權融資服務平臺在蓉發布:昨日，2019天府知識產權峰會在成都舉行。在此次峰會上，全國首個基于區塊鏈技術的知識產權融資服務平臺正式發布。此外，峰會還進行了知識產權交易項目簽約，涉及項目10個，簽約金額30.1億元；進行了知識產權質押融資項目簽約，涉及項目11個，簽約金額2.03億元。（成都日報）[2019/11/28]

varvar0=0xb1bc9a9c599feac73a94c3ba415fa0b75cbe44496bfda818a9b4a689efb7adba;varvar1=0x01;vartemp0=arg0;varvar2=temp0;vartemp1=memory;varvar3=temp1;memory=var1;vartemp2=var30x20;varvar4=temp2;vartemp3=var40x20;memory=temp3-var3;memory=memory;varvar5=temp30x20;varvar7=memory;varvar6=var20x20;varvar8=var7;varvar9=var5;varvar10=var6;varvar11=0x00;if(var11>=var8){label_02FD:vartemp4=var7;var5=temp4var5;var6=temp4&0x1f;if(!var6){vartemp5=memory;log(memory,]);return;}else{vartemp6=var6;vartemp7=var5-temp6;memory=~(0x0100**(0x20-temp6)-0x01)&memory;vartemp8=memory;log(memory,]);return;}}else{label_02EE:vartemp9=var11;memory=memory;var11=temp90x20;if(var11>=var8){gotolabel_02FD;}else{gotolabel_02EE;}}}functionbalanceOf(vararg0)returns(vararg0){memory=0x00;memory=arg0;returnstorage)];}functiontransfer2(vararg0,vararg1){if(arg1<=0x02){revert(memory);}memory=msg

廣州搶先出臺全國首個區塊鏈專項扶持政策:據媒體今日報道，早在2017年12月，黃埔區、廣州開發區出臺《廣州市黃埔區廣州開發區促進區塊鏈產業發展辦法》，針對區塊鏈產業多個環節給予重點扶持，是目前國內支持力度最大、模式突破最強的區塊鏈扶持政策。整個政策共10條，核心條款包括7個方面，涵蓋成長獎勵、平臺獎勵、應用獎勵、技術獎勵、金融支持、活動補貼等。[2018/3/12]

memory=msg

memory=msg

functiontransfer(vararg0,vararg1){if(arg1<=0x01){revert(memory);}memory=msg

memory=msg

memory=msg

functionfunc_0417(vararg0)returns(vararg0){memory=0x01;memory=arg0;returnstorage)];}}

之后我們針對此逆向后的代碼進行分析。

我們經過分析發現了如下的public函數：

很明顯這是代幣合約，并且可以進行轉賬。而此代碼中擁有兩個轉賬函數。并且可以查看余額。

我們具體根據代碼對函數詳細分析：

首先我們分析編號為0x652e9d91的func_01DC()函數。

首先合約將內存切換到0x01位置，此處為：mapping(address=>uint)publicgift;

memory=msg

不知用戶是否發現，我們就看到了漏洞點了，這是一個典型的溢出漏洞。

根據作者給出的代碼，我們發現其具體余額是使用uint定義的，由于uint的位數是有限的，并且其不支持負數。所以當其負數溢出時就會變成一個很大的正數。

而根據我們的transfer2函數內容，我們知道：require(balance(msg.sender)-arg1>=0);。此句進行判斷的時候是將用戶余額減去一個arg1來判斷是否大于0的。而如果arg1設置一個比較大的數，那么balance(msg.sender)-arg1就會溢出為一個非常大的數，此時就成功繞過了檢測并且轉賬大量的代幣。

所以我們可以利用此處的整數溢出來進行題目求解，然而在分析的過程中我又發現了另一個解法。

如果做題人沒有發現此處的漏洞點，我們可以利用常規做法來進行求解。

根據給出的flag函數我們知道，我們只需要余額>10000即可，那么我們可以發現，我們的profit函數可以給我們不斷的新增錢。

根據我們的分析，我們需要令合約余額==1并且gitf==1，此時即可調用profit()來將余額，調用后余額為2，gift為1。這時候將余額轉給第二個賬戶，余額就又變成1了，就又可以調用profit()函數。這樣不斷給第二個用戶轉賬，轉賬10000次即可。

三、漏洞利用技巧

此處我們介紹漏洞利用的技巧。

首先我們需要擁有兩個錢包地址。

此時我們令Addr1調用func_01DC()函數領取1個代幣以及1個gift。

之后我們調用profit領取一個代幣。此時余額為2，gift為1。

由于transfer2需要余額大于2才能調用，所以我們首先令Addr2同樣執行上面的兩步。此時兩個錢包均有余額為2。

這時候Adde1調用transfer給Addr2轉賬兩個代幣，此時Addr余額為0，Addr2為4。

之后Addr2就可以調用transfer2給Adde1轉賬一個非常大的金額。達到溢出效果。此時Addr1與Addr2均擁有了大量的代幣。任意地址均可以調用flag函數。

具體的交易日志如下：

此時flag就被調用發送到用戶賬戶上了。

四、總結

本次題目非常巧妙，如果后面的同學想直接查看交易日志是非常難通過一個賬戶來進行跟蹤的。并且本題目沒有公布合約，所以考驗逆向能力。但是只要逆出來后就是一道比較簡單的題目，沒有完全逆出來的同學也可以使用常規做法進行不斷轉賬來使余額滿足要求。希望本文對大家之后的研究有所幫助。歡迎討論。

Tags：MORMEMMEMOEMOMore Coin0xMemeMEMO價格LEMO

FIL