华为云专场-Writeup
ethenc (复现)
解题思路
基本配置:chrome - MetaMask插件
配置插件成功后自行创建账号,设置密钥,可以在https://faucet.metamask.io/ 要测试币
然后可以拿到一些测试币
每次转账需要一些gas,gas越多转的越快,这个gas理解为手续费就行了。手续费越高,相当于优先级越高。
到此,钱包基本配置完了。
本题:
开头后导0满足pow条件后,进到题目
看到Game environment是Ropsten testnet,就是水管测试网,那么把metamask的网络调到ropsten就行了
根据Option 1 得到account ,输入1返回account地址后,根据Before Option2的提示,就是给他转点eth(以太币),是测试水管刚才request到的测试币,
把他地址输到里面给他转,然后输入2,deploy contract,就是部署合约。
根据转账信息,可以根据合约地址拿到合约的源码:
就是那个To 的地址,点开
可以根据下面的网址:
https://ropsten.etherscan.io/address/0xb3d86a5e25eef9d16444af35ecfbf27ce18b5da5#code
看到合约字节码
用下面网站字节码反编译就可以拿到源码 然后根据题目应该是找出漏洞/枚举出所需要的param
https://ropsten.etherscan.io/bytecode-decompiler?a=0xb3d86a5e25eef9d16444af35ecfbf27ce18b5da5
其实部署合约应该是在拿到源码,得到可以触发send flag事件的param后再做的事情 但是当时没想那么多,根据交易信息的超链接访问源码了 源码就是上面那个网址反编译出来的代码
接下来就是密码/枚举的事情。
其他WP详见下面地址:
https://github.com/ChaMd5Team/Venom-WP/blob/main/2020-%E5%8D%8E%E4%B8%BA%E4%BA%91%E4%B8%93%E5%9C%BA-Writeup.pdf
end
招新小广告
ChaMd5 Venom 招收大佬入圈
新成立组IOT+工控+样本分析 长期招新
欢迎联系admin@chamd5.org
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
![朱容君-兔子牙春风一吹,头发都在开心[求关注] ](https://imgs.knowsafe.com:8087/img/aideep/2022/4/4/821500050e0a73c1ede7e8ae92e9efca.jpg?w=250)
Chamd5安全团队
关注网络尖刀微信公众号随时掌握互联网精彩
- 1 习近平引领网信事业高质量发展 4990910
- 2 加沙妇女抱侄女尸体照片获摄影大奖 4965195
- 3 买燃油车的人正式成了少数派 4854464
- 4 一季度农业农村经济“开门稳” 4729549
- 5 中国男女足均无缘奥运会 4663673
- 6 东郊到家女技师月入6万平台抽50% 4556563
- 7 徐志胜看透了女性婚恋市场 4433923
- 8 关晓彤连续8年为鹿晗庆生 4358959
- 9 广西白沙大道一大楼倒塌系谣言 4216595
- 10 马斯克发文反对美国禁止TikTok 4122435
