La creazione di una catena ROP è un processo difficile, creativo, laborioso ma entusiasmante. In generale, quando utilizziamo il ROP, stiamo cercando di aggirare il DEP. Dopotutto, se abbiamo il controllo di EIP e possiamo scrivere ed eseguire lo stack, perché non passare al nostro shellcode?
Con questo in mente, è importante ricordare che interi payload non sono, in genere, scritti come una catena ROP. Generare un reverse shell interamente fuori dai gadget ROP mentre è certamente possibile, è probabile che metta alla prova la sanità mentale di qualsiasi autore di exploit.
La funzione di una catena ROP è semplicemente quella di disattivare DEP. Utilizziamo ROP per disattivare DEP (aggiungendo il permesso di esecuzione alla pagina di memoria che contiene lo stack) e quindi semplicemente passare al nostro payload del codice shell tradizionale.
In Windows, di solito si tratta di effettuare una chiamata di sistema VirtualProtect() , caricata con i parametri corretti per consentire l'esecuzione dello stack. È stato dimostrato che kernel32.dll contiene solo gadget appropriati per effettuare tale chiamata nella maggior parte dei casi. Strumenti per identificare i gadget potenzialmente utili nel codice del programma possono rendere questo processo molto più semplice. Vedi questa pagina per un esempio dettagliato del processo.
Quindi, se una sequenza specifica, come POP POP RET è presente, non è poi così rilevante. In qualsiasi programma che collega le principali librerie (che fanno tutte), ci saranno più di gadget sufficienti per costruire un semplice DEP che disattiva la catena ROP. Tutto ciò richiede un po 'di pensiero laterale: è come cercare di costruire un puzzle quando ogni pezzo proviene da una scatola diversa.