x86_64天生具有免疫力

根據X86_64 ABI的呼叫約定，函式間傳遞引數不再以壓棧的方式，而是以暫存器方式傳遞引數，前面6個引數依次以rdi, rsi, rdx, rcx, r8和r9寄存來傳遞。

在Linux系統，64位架構只使用48位的虛擬地址空間，也即每個地址高16位全部為0，因此在64位系統上，地址已天然零化。

前面介紹的攻擊方法似乎一夜之間沒有用武之地，很快安全人員在ret2plt攻擊方法基礎上，做了一個升級片本的攻擊方法，稱為ROP(Return-oriented programming)方法。

何謂ROP

顧名思義ROP，就是面向返回語句的程式設計方法，它借用libc程式碼段裡面的多個retq前的一段指令拼湊成一段有效的邏輯，從而達到攻擊的目標。

為什麼是retq，因為retq指令返到哪裡執行，由棧上的內容決定，而這是攻擊者很容易控制的地址。

那引數如何控制，就是利用retq執行前的pop reg指令，將棧上的內容彈到指令的暫存器上，來達到預期

一段retq指令未必能完全到想攻擊目標的前提條件，那可在棧上控制retq指令跳到另一段retq指令表，如果它還達不到目標，再跳到另一段retq，直到攻擊目標實現。

在ret2plt攻擊方法，我們使用PPR(pop, pop, ret)指令序列，實現順序執行多個strcpy函式呼叫，其實這就是一種最簡單的ROP用法。ROP更是ret2plt的升級版

ROP方法技巧性很強，那它能完全勝任所有攻擊嗎？返回語句前的指令是否會因為功能單一，而無法實施預期的攻擊目標呢？業界大牛已經過充分

攻擊例項

在這裡省去對準EIP以及漏洞程式碼分析，直奔主題，如何構造ROP指令順列來實現攻擊邏輯。

簡單起來，攻擊目標為實現system(“echo success”) 這個函式呼叫。

首先，呼叫system的引數為”echo success”字串的地址，而字串是棧注入的內容，那它的地址應該是rsp + offset。而函式呼叫時，第一個引數是放到rdi寄存裡面。 所以需要從libc裡面，在retq或者call *reg指令前找到rdi = rsp + offset邏輯等價的指令序順，發現有如下的兩條指令：

0x7ffff7a610a3      lea 0x120(%rsp),%rdi
0x7ffff7a610ab      call    %rax

• 1
• 2

這樣，可以將”echo success”字串安排在rsp + 0x120的位置。但往下一條指令，要指令call %rax，因此需要在指令這個指令段前控制rax的值必須為system函式的地址。

然後，想將system地址放到rax相當容易，只需要在retq指令令，找到pop rax指令即可，從libc裡面查詢，發現如下：

0x7ffff7a3b076:     pop %rax
0x7ffff7a3b077:     pop %rbx
0x7ffff7a3b078:     pop %rbp
0x7ffff7a3b0f9:     retq

• 1
• 2
• 3
• 4

於是，構建如下的執行順序：

pop %rax <— 這裡彈出system函式地址 
pop %rbx 
pop %rbp 
retq <— 這裡從棧中跳到下段指令

lea 0x120(esp), %rdi <– 需要安排好”echo success”位置，使得此時的rsp + 0x120剛好是字串地址 
call *%rax <– 呼叫system，引數剛好。

通過gdb檢視system函式的地址：

(gdb) p system
$4 = {<text variable, no debug info>} 0x7ffff7a61310 <system>

• 1
• 2

於是棧注入內容就很容易: 
0x7fffff7a3b076 + address of system + dummy1 + dummy2 + 0x7ffff7a610a3 +dummy(0x120) + “echo success”

攻擊圖示

上面的攻擊例項中，指令的執行過程和棧注入記憶體佈局如下圖所示。

ROP可以為所欲為

上面提到已有研究員稱ROP攻擊借用的多個程式碼片段串起來的程式邏加是圖靈完備的，也即這個程式包含順序執行語句（這個當然是廢話），還有分支語句，甚至有迴圈語句。

稍有反編譯或者逆向工程經驗，或者對C語言生成的彙編結構熟悉都知道，retq指令是函式的返回指令，在此之前的指令是彈棧指令（如pop rax, pop rbx等），怎麼可以出現分支指僅（bne等），甚至迴圈指令呢？

是的，這個是事實，但不是事實的全部。如果將glibc進行逆向工程，會發現retq指令前向全是清一色的pop指令，但是事實上攻擊者總是不按常規出牌。

X86指令集是CISR指令集，密集度很高，一條指令中的一部分，也可能是一條新指令。

攻擊者就是利用這一點，不按常規出牌。retq指令就只有一個位元組，是C3。通過編寫工具，對glibc進行掃描，把C3的指令內容找到，然後向前解碼各種可能的指令，形成一個指令表。這些指令表會是非常豐富，有運算指令，轉跳指令，以及訪存指令。利用它們可以形成圖靈完備的計算邏輯。