以太坊CVE-2018–10468与CVE-2018–11411合约破绽剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

以太坊CVE-2018–10468与CVE-2018–11411合约破绽剖析

申博_新闻事件 申博 75次浏览 已收录 0个评论

一、媒介

近来在审计代码的时刻发明了两则十分相似的代码,审计以后发明代码存在一些题目,厥后查询发明两则代码确为2018年的CVE。即:CVE-2018–11411与CVE-2018–10468。因为者的破绽点十分相似,以是在本文中我将两代码一同举行剖析。

经由简朴的剖析,我发明两则破绽均是由编写者在编写代码历程当中毛病撰写合约推断前提从而致使进击者可以或许运用前提传入适宜的参数从而绕过推断进而作歹。

代码并不长,然则危害性极大。

二、代码剖析

因为代码十分相似,以是我们仅剖析其不同点与症结点。

合约以下:

/**
 * Source Code first verified at https://etherscan.io on Wednesday, June 28, 2017
 (UTC) */

pragma solidity ^0.4.10;

contract ForeignToken {
    function balanceOf(address _owner) constant returns (uint256);
    function transfer(address _to, uint256 _value) returns (bool);
}

contract UselessEthereumToken {
    address owner = msg.sender;

    bool public purchasingAllowed = false;

    mapping (address => uint256) balances;
    mapping (address => mapping (address => uint256)) allowed;

    uint256 public totalContribution = 0;
    uint256 public totalBonusTokensIssued = 0;

    uint256 public totalSupply = 0;

    function name() constant returns (string) { return "Useless Ethereum Token"; }
    function symbol() constant returns (string) { return "UET"; }
    function decimals() constant returns (uint8) { return 18; }

    function balanceOf(address _owner) constant returns (uint256) { return balances[_owner]; }

    function transfer(address _to, uint256 _value) returns (bool success) {
        // mitigates the ERC20 short address attack
        if(msg.data.length < (2 * 32) + 4) { throw; }

        if (_value == 0) { return false; }

        uint256 fromBalance = balances[msg.sender];

        bool sufficientFunds = fromBalance >= _value;
        bool overflowed = balances[_to] + _value < balances[_to];

        if (sufficientFunds && !overflowed) {
            balances[msg.sender] -= _value;
            balances[_to] += _value;

            Transfer(msg.sender, _to, _value);
            return true;
        } else { return false; }
    }

    function transferFrom(address _from, address _to, uint256 _value) returns (bool success) {
        // mitigates the ERC20 short address attack
        if(msg.data.length < (3 * 32) + 4) { throw; }

        if (_value == 0) { return false; }

        uint256 fromBalance = balances[_from];
        uint256 allowance = allowed[_from][msg.sender];

        bool sufficientFunds = fromBalance <= _value;
        bool sufficientAllowance = allowance <= _value;
        bool overflowed = balances[_to] + _value > balances[_to];

        if (sufficientFunds && sufficientAllowance && !overflowed) {
            balances[_to] += _value;
            balances[_from] -= _value;

            allowed[_from][msg.sender] -= _value;

            Transfer(_from, _to, _value);
            return true;
        } else { return false; }
    }

    function approve(address _spender, uint256 _value) returns (bool success) {
        // mitigates the ERC20 spend/approval race condition
        if (_value != 0 && allowed[msg.sender][_spender] != 0) { return false; }

        allowed[msg.sender][_spender] = _value;

        Approval(msg.sender, _spender, _value);
        return true;
    }

    function allowance(address _owner, address _spender) constant returns (uint256) {
        return allowed[_owner][_spender];
    }

    event Transfer(address indexed _from, address indexed _to, uint256 _value);
    event Approval(address indexed _owner, address indexed _spender, uint256 _value);

    function enablePurchasing() {
        if (msg.sender != owner) { throw; }

        purchasingAllowed = true;
    }

    function disablePurchasing() {
        if (msg.sender != owner) { throw; }

        purchasingAllowed = false;
    }

    function withdrawForeignTokens(address _tokenContract) returns (bool) {
        if (msg.sender != owner) { throw; }

        ForeignToken token = ForeignToken(_tokenContract);

        uint256 amount = token.balanceOf(address(this));
        return token.transfer(owner, amount);
    }

    function getStats() constant returns (uint256, uint256, uint256, bool) {
        return (totalContribution, totalSupply, totalBonusTokensIssued, purchasingAllowed);
    }

    function() payable {
        if (!purchasingAllowed) { throw; }

        if (msg.value == 0) { return; }

        owner.transfer(msg.value);
        totalContribution += msg.value;

        uint256 tokensIssued = (msg.value * 100);

        if (msg.value >= 10 finney) {
            tokensIssued += totalContribution;

            bytes20 bonusHash = ripemd160(block.coinbase, block.number, block.timestamp);
            if (bonusHash[0] == 0) {
                uint8 bonusMultiplier =
                    ((bonusHash[1] & 0x01 != 0) ? 1 : 0) + ((bonusHash[1] & 0x02 != 0) ? 1 : 0) +
                    ((bonusHash[1] & 0x04 != 0) ? 1 : 0) + ((bonusHash[1] & 0x08 != 0) ? 1 : 0) +
                    ((bonusHash[1] & 0x10 != 0) ? 1 : 0) + ((bonusHash[1] & 0x20 != 0) ? 1 : 0) +
                    ((bonusHash[1] & 0x40 != 0) ? 1 : 0) + ((bonusHash[1] & 0x80 != 0) ? 1 : 0);

                uint256 bonusTokensIssued = (msg.value * 100) * bonusMultiplier;
                tokensIssued += bonusTokensIssued;

                totalBonusTokensIssued += bonusTokensIssued;
            }
        }

        totalSupply += tokensIssued;
        balances[msg.sender] += tokensIssued;

        Transfer(address(this), msg.sender, tokensIssued);
    }
}

改合约很明显为一款ERC20的运用产物,其具有转账函数、余额查询函数、受权函数、受权转账函数等。

在该合约中运用停息、最先函数来使合约管理者掌握合约的状况。

function enablePurchasing() {
        if (msg.sender != owner) { throw; }

        purchasingAllowed = true;
    }

    function disablePurchasing() {
        if (msg.sender != owner) { throw; }

        purchasingAllowed = false;
    }

而在该函数中,为了轻易扩展性操纵还引入了外币的运用要领:

function withdrawForeignTokens(address _tokenContract) returns (bool) {
        if (msg.sender != owner) { throw; }

        ForeignToken token = ForeignToken(_tokenContract);

        uint256 amount = token.balanceOf(address(this));
        return token.transfer(owner, amount);
    }

运用此函数可以或许建立外币兼并并传入响应的地点便可举行外币转账操纵。

在该合约中怎样介入到token的购置呢?细致要看以下函数:

function() payable {
        if (!purchasingAllowed) { throw; }

        if (msg.value == 0) { return; }

        owner.transfer(msg.value);
        totalContribution += msg.value;

        uint256 tokensIssued = (msg.value * 100);

        if (msg.value >= 10 finney) {
            tokensIssued += totalContribution;

            bytes20 bonusHash = ripemd160(block.coinbase, block.number, block.timestamp);
            if (bonusHash[0] == 0) {
                uint8 bonusMultiplier =
                    ((bonusHash[1] & 0x01 != 0) ? 1 : 0) + ((bonusHash[1] & 0x02 != 0) ? 1 : 0) +
                    ((bonusHash[1] & 0x04 != 0) ? 1 : 0) + ((bonusHash[1] & 0x08 != 0) ? 1 : 0) +
                    ((bonusHash[1] & 0x10 != 0) ? 1 : 0) + ((bonusHash[1] & 0x20 != 0) ? 1 : 0) +
                    ((bonusHash[1] & 0x40 != 0) ? 1 : 0) + ((bonusHash[1] & 0x80 != 0) ? 1 : 0);

                uint256 bonusTokensIssued = (msg.value * 100) * bonusMultiplier;
                tokensIssued += bonusTokensIssued;

                totalBonusTokensIssued += bonusTokensIssued;
            }
        }

        totalSupply += tokensIssued;
        balances[msg.sender] += tokensIssued;

        Transfer(address(this), msg.sender, tokensIssued);
    }

该函数请求用户传入msg.value且没有金额的限定,且此金额将被合约自动转移到owner的钱包中。怎样金额大于10 finney,变会自动举行金额的调解,而此处的调解合约运用了其本身的一套机制,以是我们这里不消深度研讨。以后获得tokensIssued金额,变将用户的余额加上此金额便可。

而关于DimonCoin合约来讲,其最大的不同为涌现了distributeFUD函数。此函数仅由owner挪用且用于一致减去传入数组的中所有地点的余额。

而云云简朴的合约为何为存在破绽呢?这个破绽点涌如今转账函数中。下一章我们细致举行解说。

三、破绽运用

在审计此代码时,因为token机制以是应当重点注重转账函数。而此合约中就是因为转账函数涌现的题目而致使的破绽。

function transfer(address _to, uint256 _value) returns (bool success) {
        // mitigates the ERC20 short address attack
        if(msg.data.length < (2 * 32) + 4) { throw; }

        if (_value == 0) { return false; }

        uint256 fromBalance = balances[msg.sender];

        bool sufficientFunds = fromBalance >= _value;
        bool overflowed = balances[_to] + _value < balances[_to];

        if (sufficientFunds && !overflowed) {
            balances[msg.sender] -= _value;
            balances[_to] += _value;

            Transfer(msg.sender, _to, _value);
            return true;
        } else { return false; }
    }

上述函数用于直接转账,我们来看推断前提,当转账人余额大于转账金额时,sufficientFunds为1,当没有涌现溢出时overflowed为0,此时!overflowed为1。则下面的转账历程变知足前提。而我们来看下面的transferFrom函数。

function transferFrom(address _from, address _to, uint256 _value) returns (bool success) {
        // mitigates the ERC20 short address attack
        if(msg.data.length < (3 * 32) + 4) { throw; }

        if (_value == 0) { return false; }

        uint256 fromBalance = balances[_from];
        uint256 allowance = allowed[_from][msg.sender];

        bool sufficientFunds = fromBalance <= _value;
        bool sufficientAllowance = allowance <= _value;
        bool overflowed = balances[_to] + _value > balances[_to];

        if (sufficientFunds && sufficientAllowance && !overflowed) {
            balances[_to] += _value;
            balances[_from] -= _value;

            allowed[_from][msg.sender] -= _value;

            Transfer(_from, _to, _value);
            return true;
        } else { return false; }
    }

在此函数中我们本身浏览前提就发明了眉目。当一般明白逻辑为,转账人余额要大于转账金额,而前提却为fromBalance <= _value;除此之外,要知足转账前提balances[_to] + _value > balances[_to]须要为0。而此时就只要溢出能力知足前提。

准确的代码应当编写以下:

bool sufficientFunds = fromBalance >= _value;
bool sufficientAllowance = allowance >= _value;
bool overflowed = balances[_to] + _value > balances[_to];
if (sufficientFunds && sufficientAllowance && overflowed) {

那末我们来细致看一看怎样举行实战运用。

某开源企业站CMS审计报告

前言 最近渗透测试某站点的时候触发了一个报错,然后发现了站点使用的CMS,百度了一下是一个国产开源的企业级CMS。从官网拉下来审了一下,再此记录一下 入口 下面是index.php入口文件 display();

?>
很常见的cms入口形式,但是可以注意到第八行将../替换为空,这里怀疑会不会存在目录穿越,可以采用…/./这样的形式来穿越到上一层。但是第15行限制了后缀必须为php,且由于前缀也被限制于是不能使用zip伪协议拿shell,如果php版本为5.2可以采用00截断包含任意文件,这里暂时卡住,继续审计,第2行应该为配置文件略过,跟进第7行的common.inc.php common.inc.php开头先定义了许多常量,然后更改了一些php配置,接着又引

起首我们模仿owner布置该合约。

以太坊CVE-2018–10468与CVE-2018–11411合约破绽剖析

令owner挪用fallback函数,传入2 ether 作为启动资金。

以后替换用户。令新用户传入10wei。

获得:

以太坊CVE-2018–10468与CVE-2018–11411合约破绽剖析

为了知足sufficientFunds==1&&sufficientAllowance==1&&overflowed==0
即使得账户余额小于转账金额、受权金额小于转账金额、且知足溢出hhh。

“0x583031d1113ad414f02576bd6afabfb302140225″,”0xca35b7d915458ef540ade6068dfe2f44e8fa733c”,0xfffffffffffffffffffffffffffffffffffffffffffffde1e61f36454dbfffff

初次挪用获得:

以太坊CVE-2018–10468与CVE-2018–11411合约破绽剖析

第二次挪用获得:

以太坊CVE-2018–10468与CVE-2018–11411合约破绽剖析

即每次挪用均会平空增添很多代币。

进击账户中只要肇端资金1000,且其他兼并并没有受权给他收钱的权益,以是传入该参数可以或许令其平空盗取。一样,该破绽在DimonCoin中一样存在。

以太坊CVE-2018–10468与CVE-2018–11411合约破绽剖析

挪用要领与上述内容雷同。

看待这类毛病须要合约编写者仔细搜检所写合约,因为推断不严厉而致使的破绽是致命的,而且很轻易被进击者运用。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明以太坊CVE-2018–10468与CVE-2018–11411合约破绽剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址