https://course.secsem.ru/w/index.php?action=history&feed=atom&title=%D0%91%D0%B8%D0%BD%D0%B0%D1%80%D0%BD%D1%8B%D0%B5_%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8%2FROPБинарные уязвимости/ROP - История изменений2026-05-01T17:51:16ZИстория изменений этой страницы в викиMediaWiki 1.43.3https://course.secsem.ru/w/index.php?title=%D0%91%D0%B8%D0%BD%D0%B0%D1%80%D0%BD%D1%8B%D0%B5_%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8/ROP&diff=816&oldid=prevWGH: Новая страница: «'''Возвратно-ориентированное программирование''' ('''return-oriented programming''', '''ROP''') — техника экс…»2023-12-02T17:27:05Z<p>Новая страница: «'''Возвратно-ориентированное программирование''' ('''return-oriented programming''', '''ROP''') — техника экс…»</p>
<p><b>Новая страница</b></p><div>'''Возвратно-ориентированное программирование''' ('''return-oriented programming''', '''ROP''') — техника эксплуатации перезаписи стека вызовов.<br />
<br />
== Описание техники ==<br />
<br />
В ситуации, когда присутствует NX (защита от выполнения данных как кода), одним из выходом является переииспользование существующих фрагментов кода, чтобы вызвать какие-то библиотечные функции или системные вызовы.<br />
<br />
Но сперва нужно помнить, что, в соотвествии с [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI System V AMD64 ABI], для передачи аргументов функций используются регистры. Значит, аргументы нельзя просто так положить на стек, их нужно как-то поместить в регистры.<br />
<br />
Мы рассматриваем, в первую очердь, подобные фрагменты кода (x86_64):<br />
<br />
<pre><br />
pop rdi<br />
ret<br />
<br />
pop rsi<br />
pop r15<br />
ret<br />
</pre><br />
<br />
Например, если в стеке на место адреса возврата положить последовательно адрес гаджета <code>pop rdi; ret</code>, число 4, и адрес функции <code>f</code>, то это будет иметь такой же эффект, как будто функция <code>f</code> была вызвана с аргументом 4.<br />
<br />
Из гаджетов можно составлять длинные цепочки с последовательным заданием нескольких регистров, вызовами разных функций, и т.д.<br />
<br />
== Где искать гаджеты ==<br />
<br />
Гаджеты <code>pop rdi; ret</code> с самыми интересными нам регистрами не встречаются естественным образом в типичной программе. Однако они встречаются, если рассматривать не только начала легитимных инструкций, но и середины. Для автоматического поиска гаджетов можно использовать, например, [https://github.com/JonathanSalwan/ROPgadget ROPgadget] или [https://github.com/sashs/Ropper ropper].<br />
<br />
Есть известный гаджет "ret2csu", который не находится автоматически, но присутствует почти всегда, и позволяет вызвать функцию с тремя аргументами.<br />
<br />
== Средства защиты ==<br />
<br />
Во-первых, stack canary. Функция перед выходом перепроверяет, что секретное значение перед адресом возврата не было испорчено. Чтобы это обойти, нужно или как-то писать сразу за "канарейку", или предварительно узнать значение "канарейки", чтобы при перезаписи её оставить прежним.<br />
<br />
Во-вторых, ASLR. Сама программа, библиотеки, и стек будут находиться на случайных смещениях в памяти, изменяющихся при каждом запуске. Если не обойти это, узнав каким-нибудь образом фактические адреса загрузки, составить ROP-цепочку не получится, поскольку туда нужно записывать абсолютные адреса функций/строк/etc..<br />
<br />
== См. также ==<br />
<br />
* [[Введение_в_практическую_безопасность_(2019)/Бинарная_эксплуатация]]</div>WGH