在之前的文章：以太坊智能合约逆向分析与实战：（3）[实战篇] 访问私有动态数据类型 中，我们以破解链上某“猜数字”游戏为例，讲解了映射这种动态数据类型在 EVM 中的存储与访问，这次我们把目标对准另一种动态数据类型： 动态数组 ，看看 EVM 是如何实现动态数组的存取。首先我们先看一个简单的合约：

通过之前的学习，你一定能够轻松地判断出 slot 0 里面的值（没错就是 0x666666 ），但是对于动态数组，它的长度是随时变化的，其内容并不会像这些值类型一样固定在某个 slot 里。那么它是如何存储的呢？让我们先调用 record（）函数 ,给动态数组压入一些数值（0xff0000, 0xff0001, 0xff0002，0xff0003）, 此时的动态数组长度应该是4，我们通过其 length() 函数也可获知。然后打开调试器看一下：

与之前讲的映射相比，我们可以发现动态数组的存储方式和映射有一些相似之处，却也有所不同。在动态数组中，进行变量声明的位置（slot2）存放着数组的长度，而数组内各元素的值，是按照 slot n、slot n+1、slot n+2 … 的顺序进行排列的。声明的位置我们找到了，但第一个元素所在的 slot n 该怎么找呢？答案是

keccak256(bytes32(1))

其中 bytes32(1)是指该动态数组声明时所占据的 slot 。我们可以计算一下：

看，得到的结果与调试器中 codex[0] 对应的 key 相同。具体到本例， codex[0] = slot ( keccak256(bytes32(1)) + 0 )

codex[1] = slot ( keccak256(bytes32(1)) + 1 )

codex[2] = slot ( keccak256(bytes32(1)) + 2 )

……

然后我们通过读取对应的 slot ，就能够获取到动态数组的元素了。

本次篇幅较短，趁着还有时间，我们寻找一个被破解的对象：ethernaut 的一道题目，作为本次学习的课后习题：

从上图可以看到，这是一个很短的合约，合约里 import 了一个 Ownable.sol 文件，这个文件会让部署的合约里面有一个 Owner 变量（可以参考 OpenZeppelin 的 Ownable.sol ）。然而这个合约的 Owner 并不是我们的地址，而且合约也没有提供更改 Owner 的接口（即使引用的文件里实现了 transferOwnership（)，我们也因为不是 Owner 而无法更改）。简单来说：我们的任务，就是要通过对这个合约的 动态数组 进行一系列神奇操作，从而获取 Owner 权限。

在研究动态数组之前，我们先铺垫一下：Owner 是谁呢，怎么查询到它（变量的存放位置在哪里）？

答：该Solidity 文件中并没有直接出现 Owner 变量，而是以 import 的形式引入的。一般来讲，它的变量存储 slot 是这样排列的：

也就是说，合约先继承谁，就把谁的变量放在靠前的 slot 里面，等所有合约继承完毕，再存放本合约的变量。所以在本例中， 其 slot 0 中很可能存放的就是 Owner 的地址。我们拿来前一节用过的脚本来读取一下：

看，果然如此。此处注意：由于 EVM 优化的缘故，address 变量 owner 与 bool 变量 contact 被打包放进了同一个 slot ，所以我们在一个 slot 里得到了两个变量的值：

owner = 0x3c34a342b2af5e885fcaa3800db5b205fefa3ffb

contact = false

然而，我们如何修改它呢？这就需要我们上面讲解的关于动态数组的知识了。

首先我们看图4的合约：变量 owner, contact 存放在 slot 0, 动态数组 codex[] 占用了slot 1 。通过阅读合约中的函数定义可以发现，我们无法修改 owner，但是却可以修改 codex[] 。

那么我们可以通过修改 codex[] 来实现修改owner 吗？ 对于这个合约来说是可以的，因为它的代码存在漏洞——在 pragma solidity ^0.5.0 环境下，我们可以直接控制 codex[] 的长度（ codex.length-- ），也就是说可以自由读写 slot 1 的数值，而高版本的 solc 就补上了这个漏洞。

通过本篇开头的讲解我们知道，在修改动态数组内某个元素的值的时候，例如 codex[9] = 0x12345678，实质上是将 0x12345678 写入到 存储槽 slot (keccak256(bytes32(1)) + n) 里面，而 keccak256(bytes32(1)) 能够被计算出来，等于是向 0xb10e2d527612073b26eecdfd717e6a320cf44b4afac2b0732d9fcbe2b7fa0cf6 + 9 这个地址内写入0x12345678，用汇编表示就是

0xb10e2d527612073b26eecdfd717e6a320cf44b4afac2b0732d9fcbe2b7fa0cff

0x12345678

sstore

那么，如果把第一行改为 owner 所在的存储槽地址(slot 0)，第二行改为 我们自己的账户地址，不就可以修改合约 owner 为我们自己的地址了吗？

上面说过，codex[n] 的值，就是 第 ( keccak256(bytes32(1)) + n )个 slot 的值。如果我们通过构造一个 n ,让 keccak256(bytes32(1)) + n = 0 ,就可以实现我们的目标了。但 keccak256(bytes32(1)) 本身是大于0的，如何让他加上 n 之后 “归零”呢？答案是——溢出。slot共有 2^256 个，按照 0 ~ 2^256-1 的顺序排列。我们需要让 keccak256(bytes32(1)) + n = 2^256 ，从而出现数据上溢，即可实现越过数组下标限制来修改存储槽。

但这就意味着我们要输入一个很大的数组下标，这就需要有一个很大的数组。那我们如何构造出这么大的数组呢？依靠codex.push() 去填充显然是极其不划算的，答案仍是——溢出。在slot 1 里面存放着 codex[] 的初始大小：0 , 我们通过操作 retract() 函数，让 0 减去 1 从而实现数据下溢,达到构造超大数组的目标。

让我们开始操作吧。先调用 make_contact(), 使 contact = true。看看 slot 0 的值：

可以看到，slot 0 存储的是 bool + address 变量，即 true + OwnerAddress .我们的目标是修改 OwnerAddress 为我们自己的地址。

再调用 retract() , 让codex的长度减1 。看看 slot 1 的值：

哦嚯，我们得到了一个“超级大”的动态数组，足足有 0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff 这么长！意味着我们可以在codex[n]里面存取任意位置的数据了。记得我们的目标吗？是要让keccak256(bytes32(1)) + n = 2^256 ，也就是说 n = 2^256 - keccak256(bytes32(1))。我们计算出 n =

0x10000000000000000000000000000000000000000000000000000000000000000 - 0xb10e2d527612073b26eecdfd717e6a320cf44b4afac2b0732d9fcbe2b7fa0cf6 =

0x4ef1d2ad89edf8c4d91132028e8195cdf30bb4b5053d4f8cd260341d4805f30a

换算成十进制就是

35707666377435648211887908874984608119992236509074197713628505308453184860938

也就是说，我们修改 codex**[35707666377435648211887908874984608119992236509074197713628505308453184860938]** 的值为 0x000000000000000000000001AAA…..AAA 就可以了(AAA…..AAA 是我们自己的地址)。我们调用函数 revise（uint，bytes32），参数如下

参数1：35707666377435648211887908874984608119992236509074197713628505308453184860938

参数2：0x000000000000000000000001123456…..

然后再看一下存储槽，第一个 1 是 bool 变量 true，而后面的 1234567890…… 说明owner已经成功修改为我们的地址了（0x1234567890…….）：

那么，本期节目就到这里啦。

关于作者：