arm64 的 rop 实现C代码

由于 arm64 架构与 x86 架构有很大的不同，因此在实现 arm64 的 ROP 时需要考虑不同的思路和实现方式。以下是一个简单的 arm64 ROP 实现的示例 C 代码：

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

// gadget1: mov x0, x1 ; ret
void gadget1() {
    __asm__("mov x0, x1; ret");
}

// gadget2: add x0, x0, x1 ; ret
void gadget2() {
    __asm__("add x0, x0, x1; ret");
}

// gadget3: mov x0, #0 ; ret
void gadget3() {
    __asm__("mov x0, #0; ret");
}

// gadget4: mov x1, #1 ; ret
void gadget4() {
    __asm__("mov x1, #1; ret");
}

int main() {
    char buffer[256];
    memset(buffer, 0, sizeof(buffer));

    // 构造 payload
    void *payload[4];
    payload[0] = gadget1;
    payload[1] = gadget2;
    payload[2] = gadget3;
    payload[3] = gadget4;

    // 构造 ROP 链
    unsigned long rop[4];
    rop[0] = (unsigned long)payload[0];
    rop[1] = (unsigned long)payload[1];
    rop[2] = (unsigned long)payload[2];
    rop[3] = (unsigned long)payload[3];

    // 执行 ROP 链
    ((void(*)(void))rop[0])();
    ((void(*)(void))rop[1])();
    ((void(*)(void))rop[2])();
    ((void(*)(void))rop[3])();

    printf("buffer: %s\n", buffer);

    return 0;
}

该代码中包含 4 个 gadget，分别是：

- gadget1：将 x1 寄存器的值复制到 x0 寄存器中。
- gadget2：将 x1 寄存器的值加到 x0 寄存器中。
- gadget3：将 x0 寄存器设置为 0。
- gadget4：将 x1 寄存器设置为 1。

在 main 函数中，首先构造了一个长度为 4 的 payload 数组，其中存放了 4 个 gadget 的地址。然后，构造了一个长度为 4 的 rop 数组，其中每个元素存放着一个 gadget 的地址。最后，将 rop 数组中的每个元素作为函数指针进行调用，从而执行了一个简单的 ROP 链。

该 ROP 链的具体操作是：

1. 将 x1 寄存器的值复制到 x0 寄存器中。
2. 将 x1 寄存器的值加到 x0 寄存器中。
3. 将 x0 寄存器设置为 0。
4. 将 x1 寄存器设置为 1。

这个 ROP 链的最终结果是将 buffer 数组中的前两个字节设置为 1。