有用的ROP技巧

__libc_csu_init

在x86/x64中，想要通过ROP设置EAX/RAX为任意数值
- 可以写一个直接调用systemcall的ROP
通常搜索rop gadgets时无法找到pop eax/rax这种
- 这是一个罕见的命令
可以使用alarm()来代替
- CTF问题一般都能很好实现alarm()
- 通过ret2plt来调用两次alarm(x) -> alarm(0)，EAX/RAX的值将被设置为x
- 更多信息可以参考man alarm文档
可以使用相同的技术来修改其他函数(例如write)的返回值

考虑系统调用受到沙箱限制
在例如libc中灵活使用\xEB\xFE(jmp $-2) 这样的字节挺好
- 到达此处时，会发生无限循环
- 在指令中间，可以进行控制
例如执行memcmp(key,input,n)，根据返回值进行分支ROP
让它跳到jmp $-2 或者会导致SIGSEGV的gadget
- 如果key和input相等，则会进入无限循环导致连接无响应
- 如果key和input不同，则会产生SIGSEGV导致断开连接
- 因为这种差异，即使write/send有限，也可以指定一个字节

x64中要调用system(“/bin/sh”)的话，有几个必要条件
- pop rdi
- “/bin/sh”
- return system()
需要8*3=24字节的ROP
可以用一种有条件限制的8字节来代替
- 8字节只是一个ROP，无需带入到ROP中(只需要控制RIP就可以)
- 只对x64和xinetd类型有效
核心
- libc中存在自动执行execve("/bin/sh",0,0)的地址
- 参考DragonSector的资料(http://j00ru.vexillium.org/?p=2485)
- 但是有条件限制，lea带入到rsi的值需要是NULL
x86不存在One-gadget-RCE
- 因为libc中有PIC，将ebx保存为基指针
  - 需要以ebx+offset的形式访问字符串
- 如果ebx不包含libc的基地址，则它无法正常工作
  - 如果ebx包含libc的基地址，则可能存在One-gadget-RCE的地址
  - 但是，栈上对应第二个参数的部分需要为NULL(与x64相同)
  - 所以不太现实
在x64中没有基指针这样的东西，它由RIP的相对地址表示
- 寄存器不必包含特定数字
- 使用这种技术的概率非常高

JOP (Jump-Oriented Programming)
- 基于jmp指令而不是return的ROP
COP (Call-Oriented Programming)
- 基于call指令的ROP
  - 习惯构造ROP后，无意中就会用到JOP和COP
  - 在x64中，可以只使用heap伤的JOP/COP进行攻击，而无需使用任何stack数据
SROP(Sigreturn-Oriented Programming)
- 利用信号中断恢复重写寄存器并简化ROP
  - x86和x64都可以使用，但要注意需要有足够的栈溢出空间
BROP(Blind Return-Oriented Programming)
- 手边没有二进制原文件的ROP
详细可以参考ntddk的博客
- https://ntddk.github.io/2014/09/11/after-rop/