MOR:全國大學生信息安全競賽—區塊鏈題目分析_ARMOR

作者：Pinging

一、前言

前幾天全國大學生信息安全競賽初賽如期進行，在這次比賽中也看到了區塊鏈題目的身影。所以我將題目拿來進行分析，并為后續的比賽賽題提供一些分析思路。

由于本次比賽我并沒有參加，所以我并沒有Flag等相關信息，但是我拿到了比賽中的相關文件以及合約地址并在此基礎上進行的詳細分析，希望能幫助到進行研究的同學。

二、題目分析

拿到題目后，我們只得到了兩個內容，一個是合約的地址，一個是broken

eventSendFlag(uint256flagnum,stringb64email);functionpayforflag(stringb64email)public{require(balanceOf>=10000);emitSendFlag(1,b64email);}

首先我們看這個合約文件。合約開始定義了兩個mapping變量——balanceOf與gift，之后為構造函數，以及發送flag的事件。當我們調用payforflag函數并傳入使用base64加密的郵件地址之后，需要滿足當前賬戶的余額比10000多。

由這第一手信息我們可以進行一些簡單的猜想。這道題目需要領自己的余額大于10000，只有這樣才能購買flag。這也是很常見的題目類型。而這個題目十分設計的還是十分巧妙的，我們接著向下看。

全國首筆數字人民幣支付工程款項從蘇州發出:金色財經報道，三筆項目工程款通過數字人民幣在蘇州成功發放。這是目前國內首筆數字人民幣支付工程款項的結算交易，實現了數字金融產業與建設項目的深度融合。付款方蘇州高鐵新城國有資產控股（集團）有限公司通過中國工商銀行數字人民幣對公錢包，對蘇州保融建設項目管理有限公司的代建費用進行支付。（新華日報）[2022/3/26 14:19:11]

根據上面的合約代碼，我們并不能得到更多的有用信息。然而此時我們就需要利用合約地址來進一步分析。

此處合約地址為：0x455541c3e9179a6cd8C418142855d894e11A288c。

我們訪問公鏈信息看看是否能夠訪問到有價值的信息：

發現出題人并沒有公開源代碼，只有ABI碼，此時我們只能根據此來進行合約逆向來尋找更有用的解題思路。

https://ethervm

varvar0=msg

var1=0x009c;func_01DC();stop();}elseif(var0==0x66d16cc3){//Dispatchtableentryforprofit()var1=msg

var1=0x009c;profit();stop();}elseif(var0==0x6bc344bc){//Dispatchtableentryfor0x6bc344bc(unknown)var1=msg

全國首個“區塊鏈數字社區”在四川德陽落地運行:全國首個“區塊鏈數字社區”在四川德陽國家級經開區樂安社區、東山社區和沂河社區落地示范，服務于社區治理、自治、民生服務和基層黨建，實現社區共建、共治、共享，服務于社區公益、志愿者活動、社區電商和閑置物品交換。[2021/2/10 19:23:59]

vartemp0=memory;vartemp1=msg

elseif(var0==0x70a08231){//DispatchtableentryforbalanceOf(address)var1=msg

var1=0x013a;var2=msg

elseif(var0==0x7ce7c990){//Dispatchtableentryfortransfer2(address,uint256)var1=msg

var1=0x009c;var2=msg

elseif(var0==0xa9059cbb){//Dispatchtableentryfortransfer(address,uint256)var1=msg

var1=0x009c;var2=msg

elseif(var0==0xcbfc4bce){//Dispatchtableentryfor0xcbfc4bce(unknown)var1=msg

全國政協委員：建議就行政復議案件流程運用區塊鏈等技術做出專條規定:在6月5日召開的全國政協雙周協商座談會上，全國政協委員、浙江省杭州市政協副主席謝雙成呼吁以數字賦能行政復議體制改革，加快“智慧復議”建設。結合杭州市目前正在進行的“智慧復議”平臺（二期）建設，他同時建議：本次修法就行政復議案件立案、審理、裁決、執行、監督、問責、評價制度的電子化、網絡化、大數據、云技術、人工智能、區塊鏈等方法技術運用做出專節或專條規定。（人民政協報）[2020/6/6]

var1=0x013a;var2=msg

else{revert(memory);}}//0x66d16cc3函數空投函數？？functionfunc_01DC(){memory=msg

memory=msg

//利潤函數：functionprofit(){memory=msg

memory=msg

memory=msg

functionfunc_0278(vararg0){memory=msg

varvar0=0xb1bc9a9c599feac73a94c3ba415fa0b75cbe44496bfda818a9b4a689efb7adba;varvar1=0x01;vartemp0=arg0;varvar2=temp0;vartemp1=memory;varvar3=temp1;memory=var1;vartemp2=var30x20;varvar4=temp2;vartemp3=var40x20;memory=temp3-var3;memory=memory;varvar5=temp30x20;varvar7=memory;varvar6=var20x20;varvar8=var7;varvar9=var5;varvar10=var6;varvar11=0x00;if(var11>=var8){label_02FD:vartemp4=var7;var5=temp4var5;var6=temp4&0x1f;if(!var6){vartemp5=memory;log(memory,]);return;}else{vartemp6=var6;vartemp7=var5-temp6;memory=~(0x0100**(0x20-temp6)-0x01)&memory;vartemp8=memory;log(memory,]);return;}}else{label_02EE:vartemp9=var11;memory=memory;var11=temp90x20;if(var11>=var8){gotolabel_02FD;}else{gotolabel_02EE;}}}functionbalanceOf(vararg0)returns(vararg0){memory=0x00;memory=arg0;returnstorage)];}functiontransfer2(vararg0,vararg1){if(arg1<=0x02){revert(memory);}memory=msg

動態 | 廣州市花都區人民醫院開出全國首張區塊鏈住院電子票據:據新浪財經報道，廣州市花都區人民醫院召開“廣東省首家全流程電子票據上線發布會”，宣布成功上線全流程（門診+住院）醫療電子票據。據了解，花都區人民醫院是在金蝶醫療、廣東瑞聯科技有限公司的技術支持下，短期內實現了各環節電子結算的信息流轉，成功對接了廣東省財政電子票據區塊鏈應用平臺。在9月29日，醫院成功開出第一張門診醫療電子票據，10月16日，又將電子票據延申至住院結算，正式覆蓋全院業務。至此，花都區人民醫院成為了全國第一家上線區塊鏈住院醫療電子票據的醫療機構，也是廣東省內首家上線住院醫療電子票據單位。[2019/10/24]

memory=msg

memory=msg

functiontransfer(vararg0,vararg1){if(arg1<=0x01){revert(memory);}memory=msg

memory=msg

memory=msg

functionfunc_0417(vararg0)returns(vararg0){memory=0x01;memory=arg0;returnstorage)];}}

之后我們針對此逆向后的代碼進行分析。

日本最大的消費電子零售連鎖企業之一山田電機推出比特幣支付服務，計劃在全國推出商店:日本最大的消費電子零售連鎖企業之一山田電機（Yamada Denki）已經在兩家東京分店推出了比特幣支付業務，并計劃在全國范圍內推出商店。零售商表示：“除了多元化的手段，我們將實施舉措以促進比特幣的認可和使用。比特幣支付服務的推出滿足了日本和海外客戶的不同需求。“該零售商已經與日本主要的比特幣交易所和服務公司bitFlyer合作，利用后者的銷售點（Pos）支付基礎設施支持比特幣支付。在對兩家商店的比特幣支付進行測試的同時，山田電機強調，此后將在全國范圍內部署該服務。[2018/1/30]

我們經過分析發現了如下的public函數：

很明顯這是代幣合約，并且可以進行轉賬。而此代碼中擁有兩個轉賬函數。并且可以查看余額。

我們具體根據代碼對函數詳細分析：

首先我們分析編號為0x652e9d91的func_01DC()函數。

首先合約將內存切換到0x01位置，此處為：mapping(address=>uint)publicgift;

memory=msg

不知用戶是否發現，我們就看到了漏洞點了，這是一個典型的溢出漏洞。

根據作者給出的代碼，我們發現其具體余額是使用uint定義的，由于uint的位數是有限的，并且其不支持負數。所以當其負數溢出時就會變成一個很大的正數。

而根據我們的transfer2函數內容，我們知道：require(balance(msg.sender)-arg1>=0);。此句進行判斷的時候是將用戶余額減去一個arg1來判斷是否大于0的。而如果arg1設置一個比較大的數，那么balance(msg.sender)-arg1就會溢出為一個非常大的數，此時就成功繞過了檢測并且轉賬大量的代幣。

所以我們可以利用此處的整數溢出來進行題目求解，然而在分析的過程中我又發現了另一個解法。

如果做題人沒有發現此處的漏洞點，我們可以利用常規做法來進行求解。

根據給出的flag函數我們知道，我們只需要余額>10000即可，那么我們可以發現，我們的profit函數可以給我們不斷的新增錢。

根據我們的分析，我們需要令合約余額==1并且gitf==1，此時即可調用profit()來將余額，調用后余額為2，gift為1。這時候將余額轉給第二個賬戶，余額就又變成1了，就又可以調用profit()函數。這樣不斷給第二個用戶轉賬，轉賬10000次即可。

三、漏洞利用技巧

此處我們介紹漏洞利用的技巧。

首先我們需要擁有兩個錢包地址。

此時我們令Addr1調用func_01DC()函數領取1個代幣以及1個gift。

之后我們調用profit領取一個代幣。此時余額為2，gift為1。

由于transfer2需要余額大于2才能調用，所以我們首先令Addr2同樣執行上面的兩步。此時兩個錢包均有余額為2。

這時候Adde1調用transfer給Addr2轉賬兩個代幣，此時Addr余額為0，Addr2為4。

之后Addr2就可以調用transfer2給Adde1轉賬一個非常大的金額。達到溢出效果。此時Addr1與Addr2均擁有了大量的代幣。任意地址均可以調用flag函數。

具體的交易日志如下：

此時flag就被調用發送到用戶賬戶上了。

四、總結

本次題目非常巧妙，如果后面的同學想直接查看交易日志是非常難通過一個賬戶來進行跟蹤的。并且本題目沒有公布合約，所以考驗逆向能力。但是只要逆出來后就是一道比較簡單的題目，沒有完全逆出來的同學也可以使用常規做法進行不斷轉賬來使余額滿足要求。希望本文對大家之后的研究有所幫助。歡迎討論。

Tags：MORMEMMEMOEMOARMORMEMEDOGEMEMO價格Demole

DOGE