前言

上一篇34C3_CTF的文章分析希望能给白帽子带来一些用处,因此这篇文章,笔者Doctor Who@玄猫安全分享关于该题从零到有的思路,顺带解释一些solidity的特性与语法。

题目解读

首先是关于34C3_CTF的题目解读。
send 1505 szabo 457282 babbage 649604 wei 0x949a6ac29b9347b3eb9a420272a9dd7890b787a3

1 eth:1505 szabo + 457282 babbage + 649604 Wei

从题目的提示中,我们可以看到一些以太坊的单位

Notice

  • eth使用了对社会做出伟大贡献的大牛名字作为单位,以下单位从小到大排序
  • Wei:eth的最小单位,Wei Dai密码学先驱,B-Money的提出者
  • Babbage:查尔斯·巴贝奇,通用计算机之父。1 Baggage = 10^3 Wei = 1 KWei
  • Lovelace:洛芙莱斯,计算机程序创始人。1 Lovelace = 10^6 Wei = 1 MWei
  • Shannon:香农,信息论之父。1 Shannon = 10^9 Wei = 1 GWei
  • Szabo:尼克·萨博,比特金概念的提出者。1 Szabo = 10^12 Wei = 1 Microether
  • Finney:哈尔·芬尼,比特币最早支持者,当时中本聪第一笔转账的那个大牛。 1 Finney = 10^15 Wei = 1 Milliether
  • Ether:最大的单位,就是平时说的eth所指的面值大小。1 ether = 10^8 Wei

于是计算如下:

2 contract address:0x949a6ac29b9347b3eb9a420272a9dd7890b787a3

给了 ETH 单位,又给了地址,那么题目的意思就可以理解成 : send much money to this contract

合约逆向

在上一篇文章中已经讲述了,怎么从合约字节码获得初步可读的伪代码,这里直接进入正题。
合约中总共有3个函数,分别是func_00cc, Withdraw, Receive
在上一篇中,讲过怎么根据交易的input data来找到对应调用的函数,这里就不再多说。因此本次的重点在于函数的功能解读。
如果任何不解之处,可以提出疑惑,然后统一予以解答。

func_00cc解读

首先看一下逆向出来的伪代码

if (var0 == 0x2a0f7696) {
    // part-I
    if (msg.value) {revert(memory[0x00:0x00]); }

    var var1 = 0x0081;

    // part-II
    var var2 = msg.data[0x04:0x24] & 0xffff;

    // part-III
    var1 = func_00CC(var2);
    var temp0 = memory[0x40:0x60];
    memory[temp0:temp0 + 0x20] = var1;
    var temp1 = memory[0x40:0x60];
    return memory[temp1:temp1 + (temp0 + 0x20) - temp1];
}

这个函数的流程如下所示:

  1. no payable 判断
  2. 获取用户输入的数据,做and操作,取最后的两个字节。
  3. 使用用户参数调用func_00cc,然后将返回值返回给用户,做一下变量代换就可以看出来了。

下面分析func_00cc函数体:

function func_00CC(var arg0) returns (var r0) {
    var var0 = 0x00;

    // part-I
    if (arg0 & 0xffff != storage[0x01] & 0xffff) { return 0x00; }

    // part-II
    memory[0x00:0x20] = msg.sender;
    memory[0x20:0x40] = 0x02;
    return storage[keccak256(memory[0x00:0x40])];
}
  1. 判断用户调用参数的最后两个字节的值是否等于slot[1]最后两个字节的值
  2. 3行代码实际上就是做了一个,return var_map[msg.sender]

Notice
storage可以理解成一个个连续的槽位(数组),称为 slot[],每个槽位可以存放32字节的数据
关于storage的进一步介绍包括变量寻址等内存布局,可以参考官方文档,或者之后的系列连载文章

综合上面代码,以及

function Withdraw(var arg0) {
        if (msg.sender != storage[0x00] & 0xffffffffffffffffffffffffffffffffffffffff) { revert(memory[0x00:0x00]); }

        //...省略不看
    }

可以得出一个初步的信息,即合约的状态变量的声明情况

address var_addr;
bytes32 var_bytes;
mapping var_map;

可以看出,func_cc 是用于返回flag的一个函数,返回flag的条件是输入数据的最后两个字节与 slot[1]的最后两个字节一致。

通过 eth.getStorageAt(0x949a6ac29b9347b3eb9a420272a9dd7890b787a3, 1) ,即可看到 slot1 的返回值。

Receive解读

function Receive() {
        var var0 = 0x00;
        var var1 = var0;
        var var2 = 0x02;
        memory[memory[0x40:0x60] + 0x20:memory[0x40:0x60] + 0x20 + 0x20] = 0x00;
        var temp0 = memory[0x40:0x60];
        memory[temp0:temp0 + 0x20] = msg.value;
        var var3 = temp0 + 0x20;
        var temp1 = memory[0x40:0x60];
        var temp2;

        //part-I
        temp2, memory[temp1:temp1 + 0x20] = address(var2).call.gas(msg.gas - 0x646e)(memory[temp1:temp1 + var3 - temp1]);

        // part-II
        if (!temp2) { revert(memory[0x00:0x00]); }

        // part-III
        var temp3 = memory[memory[0x40:0x60]:memory[0x40:0x60] + 0x20] ~ storage[0x01];
        memory[0x00:0x20] = msg.sender;
        memory[0x20:0x40] = 0x02;
        storage[keccak256(memory[0x00:0x40])] = temp3;
    }

函数流程如下,

  1. part-I 之上的所有代码主要是为了调用call而做的事情。
  2. 如果调用不成功,则回滚交易并结束。那么要转入的eth就是题目中所给出的那个值,将其换算好,发起一次交易就好了。
  3. part-III 就是将flag(上一步调用函数的时候,返回的值)放入var_map[msg.sender]中。

总结

综上所述,整一个思路是:

  1. 分析题干,获取信息
  2. 逆向合约,获取伪代码
  3. 分析伪代码,获得合约逻辑
  4. 调用Receive函数,转入0.001505000457931604eth
  5. 查看storageslot[1]的值,获取其最后两个字节的值0xc1cb
  6. 0x2a0f7696c1cb作为input data向合约发起交易
  7. 获得0x333443335f6772616e646d615f626f756768745f736f6d655f626974636f696e
  8. 将十六进制转换成字节数组,并且打印出来,得34C3_grandma_bought_some_bitcoin

资料

题目地址 : https://archive.aachen.ccc.de/34c3ctf.ccc.ac/challenges/index.html

合约地址 : https://etherscan.io/address/0x949a6ac29b9347b3eb9a420272a9dd7890b787a3

反编译地址 : https://ethervm.io/decompile?address=0x949A6aC29B9347B3eB9a420272A9DD7890B787A3

writeup : https://github.com/kuqadk3/CTF-and-Learning/blob/master/34c3ctf/crypto/chaingang/readme.md

点击收藏 | 0 关注 | 2
  • 动动手指,沙发就是你的了!
登录 后跟帖