ethernaut——fallout

最新推荐文章于 2024-09-26 18:57:44 发布
最新推荐文章于 2024-09-26 18:57:44 发布
阅读量90 收藏
点赞数
分类专栏: ethernaut_2023详解 文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78046362/article/details/130669530
版权
文章讨论了一个名为Fallout的智能合约,其中存在一个安全漏洞,允许攻击者通过调用错误命名的构造函数Fal1out()成为合约的所有者。此合约在Solidity^0.6.0版本下编译,原本应将Fal1out()作为构造函数,但因命名错误,导致可以被多次调用。攻击者可以利用这个错误获取合约的所有资金。从Solidity0.4.22开始,推荐使用`constructor`关键字来避免此类问题。
摘要由CSDN通过智能技术生成

文章目录

第二关:Fallout

本关知识点:

1. 声明构造器的方法

1. 题目要求

获取合约所有权

2. 代码功能解读

1. Fal1out()方法是一个可支付方法,发送者成为owner,并在allocations中记录他发送的value
2. allocate()方法是一个可支付方法,在allocations中增加发送value的总数。
3. sendAllocation(address payable allocator)方法中,如果allocations记录中大于0,则发送相应的eth给他
4. collectAllocations()是一个只有owner才可以调用的方法,可以获得合约中的所有钱。
5. allocatorBalance(address allocator)方法查看allocator在合约中发送的eth。

3. 漏洞分析

攻击点在于如何成为owner,因为我们成为owner之后就可以获得所有钱。
	本合约的编译版本是^0.6.0,在合约中特别标注了Fal1out()应该是一个constructor。这个方法是constructor的条件是必须与合约名称相同,但是仔细看发现和合约名称并不相同,所以我们可以调用这个方法成为owner。

4. 攻击方法

1. 调用Fal1out()方法成为拥有者。

5. 攻击调用图

请添加图片描述

6. 知识点分析

构造函数是一个只会在部署合约的时候运行一次的函数。在本关中试图用和合约名称相同的函数充当构造函数,编写错误导致了可以让其他人重复调用。

  • 在Solidity 0.4.22之前,构造函数不使用 constructor 而是使用与合约名同名的函数作为构造函数而使用,由于这种旧写法容易使开发者在书写时发生疏漏,于是在solidity的0.4.22版本开始之后,用constructor来定义构造函数,有效防止构造函数的误写和提高了合约易读性
陵野
关注
专栏目录
以太Ethernaut靶场打靶—2 Fallout
weixin_49340699的博客
10-26 363
以太Ethernaut靶场打靶—2 Fallout 成功条件 获取合约所有权 源码审计 pragma solidity ^0.6.0; import '@openzeppelin/contracts/math/SafeMath.sol'; contract Fallout { using SafeMath for uint256; mapping (address => uint) allocations; address payable public owner; /*
Ethernaut 题解
bluestar628的博客
12-03 1047
1. Fallback 首先看代码 2. Fallout 3. CoinFlip 代码如下: pragma solidity ^0.4.18; contract CoinFlip { uint256 public consecutiveWins; uint256 lastHash; uint256 FACTOR = 5789604461865809771178...
Ethernaut 靶场刷题(上)
feng的博客
04-12 2750
前言 看了一下ctfwiki上的,前面的知识点看起来还算不那么费劲,但是突然就是学个几天就开始上手比赛题属实太难了。。。所以先从简单的区块链靶场刷起,循序渐进,慢慢学习区块链的相关知识。 靶场链接: The Ethernaut Hello Ethernaut 算是新手教程了,具体的前面的一些搭建,还有获取Rinkeby环境下的ETH的方式就不说了,靶场上也都说的比较清楚了。用help()可以得到一些常用的帮助,因为异步的问题,我们需要在函数前面加上await。 contract可以查看合约对象: cont
ethernaut 以太坊靶场学习 (1-12)
weixin_30469895的博客
10-11 1293
前言 这个靶场搜集了许多不同的 solidity 开发的问题,通过这个可以入门 区块链安全 Fallback 给出了源码 pragma solidity ^0.4.18; import 'zeppelin-solidity/contracts/ownership/Ownable.sol'; contract Fallback is Ownable { mapping(address =&...
ethernaut
qq_41578716的博客
01-03 1098
首先,准备工作 1、下载好matemask获取免费的测试以太网,大佬告诉本菜说可以点击matemask以太币不够可以重新申请一个账号(放心现在申请肯定不会很麻烦一键式操作)之后点击存入—获取,之后狂点获取按钮。 2、你需要懂智能合约的基础,以及web3.js和操作码的执行方式(当然懂了合约也可以慢慢的做下去,毕竟这个靶场就是给人熟悉合约以及其漏洞的) 0.Hello Ethernaut 这个级别目...
Ethernaut
m0_52030813的博客
11-05 363
1.Hello Ethernaut 分析 第一关更多的是让玩家熟悉靶场的一些语句执行,相当于一个教程,我们根据题目指示往下走即可。 攻击 首先点击关卡下方的按钮,生成新的关卡实例。 实例生成之后打开浏览器控制台(ctrl+shift+i)。根据题目指示,首先输入await contract.info(),随后根据得到的提示一步步往下做。 做到这一步,提示告诉我们如果知道密码就提交到authenticate这个方法,我们输入contract查看合约信息,发现代码中有password函数可以
Fallout76-QuickConfiguration:更改* .ini设置并安装mod
03-30
厌倦了在网上搜索* .ini调整并单手安装mods? 此工具可让您更改各种游戏设置并安装mod。 更改FOV和Pipboy颜色,禁用VSync,修复鼠标灵敏度等。 | | | 特征 安装和管理国防部。 检查mod是否有更新。...
fallout4VR 1.0.30.0画质升级挡.rar
06-12
《辐射4 VR 1.0.30.0画质增强补丁》是针对著名开放世界角色扮演游戏《辐射4》的虚拟现实版本所设计的一款重要更新。这款补丁旨在提升游戏在VR环境中的视觉表现,带给玩家更加真实、细腻的游戏体验。...
Fallout-Remaster:尝试重新创建原始的Fallout 1游戏
03-28
"Fallout-Remaster"项目正是这样的一个尝试,旨在利用现代技术复刻并提升1997年发行的经典角色扮演游戏——"Fallout 1"的游戏体验。本文将深入探讨这个项目所涉及的技术、工具以及可能遇到的挑战。 1. **技术选型:...
VaultParser:一个用于解析Fallout Shelter保存文件的Ruby框架
02-14
VaultParser是一个专为解析《辐射:避难所》(Fallout Shelter)游戏保存文件而设计的Ruby框架。这款开源工具允许开发者和玩家深入探索游戏的数据结构,了解游戏内部的工作机制,甚至可能对游戏进行一定程度的自定义或...
IT行业的未来:技术变革与创新的持续推动
2401_85044049的博客
09-24 1058
随着数字化进程的不断加速,信息技术(IT)行业正迈入一个快速变革的时代。新兴技术如人工智能(AI)、5G、物联网(IoT)和区块链,正在重新定义行业格局并为各类企业带来新的机遇与挑战。本文将探讨未来几年中将影响IT行业的关键技术趋势及其潜在影响。
跟随Facebook的足迹:社交媒体背后的探索之旅
LokiSan的博客
09-23 940
Facebook不仅是一个连接全球用户的社交媒体平台,它还代表着科技领域中的无限可能。通过不断在人工智能、虚拟现实和区块链等前沿技术上探索,Facebook正引领着未来社交网络和数字生活的新方向。虽然面临诸多挑战,但Facebook的创新精神和技术实力将继续推动其在全球数字生态中的角色演变,塑造未来的互联网体验。
EE trade:黄金T+D是什么意思
ee_trade的博客
09-25 312
黄金T+D,全称“黄金延期交割”,是由上海黄金交易所推出的标准化合约,允许投资者以保证金的形式进行黄金交易,并可以选择当日交割或延期交割。黄金T+D为国内投资者提供了参与黄金投资的新选择,但投资者需要谨慎对待其风险,并做好风险控制。保证金风险:保证金交易放大投资杠杆,也放大投资风险,如果市场走势不利,可能会造成较大损失。了解风险:在进行黄金T+D交易之前,要充分了解其风险,并根据自身风险承受能力进行投资。学习专业知识:学习黄金T+D交易的专业知识,掌握交易技巧,提高投资胜率。
TON生态系统开发指南:从零开始构建你的Web3应用
Lovely_xwys的博客
09-25 867
依托其与Telegram的深度整合,TON生态为开发者提供了一个极具潜力的开发环境,特别是在社交、支付和金融这三个核心领域。对于开发者而言,关键是找到合适的细分市场,结合社交和支付功能,打造创新的应用程序。TON生态的未来充满潜力,无论是在技术创新还是市场扩展方面,TON都将是下一个Web3应用的主战场。在TON生态中,遵循80/20法则,20%的顶尖项目将吸引80%的流量和资本。例如,游戏、购物平台或社交网络中的支付流程可以大大简化,用户可以通过Telegram直接支付加密货币,甚至参与链上交易。
探索未来科技的无限可能:IT领域的深度剖析与前瞻
2401_85046497的博客
09-24 369
在这个充满挑战与机遇的IT时代,每一项技术的突破都预示着新的可能。云计算、大数据、人工智能、区块链、物联网……这些看似遥远的概念,正一步步走进我们的生活,成为推动社会进步的重要力量。让我们携手并进,共同探索未来科技的无限可能,共创一个更加美好的明天!
Web3Auth 如何工作?
最新发布
FeelTouch Labs
09-26 336
重要的是,完整的私钥不存储在钱包基础设施系统内的任何地方,包括我们的数据库或任何参与节点。集成到您的应用程序中后,SDK 有助于嵌入登录功能。使用 Web3Auth 基础架构,您的密钥会被分成多个部分,并存储在您的设备和我们的 Auth 网络中。而在传统的 Web3Auth SDK 中,您的密钥是使用阈值签名在前端动态重建的。相反,这些部分密钥存储在不同的位置,并且您的设备用于为您的消息/交易制作部分签名。正如您在上图中看到的,右侧 TSS 架构的最终输出是可用于在区块链上进行交易的签名。
IT行业中的技术趋势与未来展望
2301_78944833的博客
09-21 1966
IT行业正在经历一场前所未有的技术变革,各种新兴技术相互融合,推动着企业和社会的数字化转型。从云计算到人工智能,从物联网到区块链,这些技术趋势不仅改变了IT行业的面貌,也塑造了未来世界的形态。无论是IT从业者还是企业管理者,紧跟这些技术趋势,将在未来的竞争中占据有利位置。
富格林:可信交易筹划在线曝光
fgl100的博客
09-23 325
富格林认为,在当今多元化的投资市场中,现货黄金作为一种出众的投资品种备受关注。然而,对于初次涉足的投资者来说,了解掌握在线曝光的现货黄金可信交易策略是至关重要的。毋容置疑的是,来到这个市场大家的目标都是盈利出金,但这一切却都是需要可信交易技巧来满足。选择一个可靠的交易平台其实是非常重要的,这不仅是安全交易的前提,更是关乎到我们是否能盈利出金。我们要确保选择的平台受到正规合法的监管,并提供安全的出入金管理机制。另外,还应该查看平台的交易费用和交易工具,以确保它们符合我们的需求。其次,要学会运用技术分析。
fallout pnp 下载
08-13
Fallout PnP”是一款受到经典游戏“辐射”系列启发的纸质角色扮演游戏。游戏提供了一个基于核战后的废土世界的背景设定,玩家在游戏中扮演人类幸存者,探索、生存和与其他幸存者互动。 要下载“Fallout PnP”,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值