完成了Part1前三个缓冲区注入代码改变返回地址的实验，现在来看看Part2.因csdn新手，所以上传pdf并不会。直接截图把



这里是介绍部分，大致说明了因为两个原因不能进行代码注入而写shellcode,一个是ALSR栈上地址随机化，一个是NX就是栈没有执行的权限。这样怎么攻击呢？有些聪明的人发现了新的攻击方式，简写ROP就是根据retq这条指令(可以理解pop rip)不断跳转所需要的代码段，最后通过多个ret连接成一个完整的攻击代码段。
就比如讲义举了个例子

void setval_210(unsigned *p)
{ 
  *p = 3347663060U;
}

这个函数反汇编，得到机器码

0000000000400f15 <setval_210>:
400f15: c7 07 d4 48 89 c7   movl $0xc78948d4,(%rdi)
400f1b: c3 retq

其中48 89 c7这个连续的机器码码表示 movq %rax, %rdi，即0x400f15这个地址放入到rip中会执行movq %rax, %rdi，c3表示retq。然后它给了一些指令对应的机器码。

进入重点，我们来看看phase_4

意思是可以用这四个指令来完成这个实验，然后它推荐gadgets从start_farm和mid_farm之间找。
我的第一想法
pop %rdi ret
cookie的值
ret
touch2 的地址
我也不知道其他人怎么找的gadget
我是用反汇编整个rtarget然后用管道符然后抓取关键字获取的

遗憾的没有5f这个指令。

所以只能 popq %rax, retq （58 ) (c3)
cookie的值
movq %rax,%rdi ,ret (48 89 c7) (c3)
touch2 返回地址

我看了看，选第一给比较靠谱，剩下俩58是字符串的一部分（经实验 第三个可以成功 而中间那个不知道为啥不能成功)
所以popq %rax, retq 为0x4019ab
cookie为0x59b997fa
同理

movq %rax,%rdi ,ret为 0x4019a2（之间的不行，最下边的可以成功，不知道为啥）
touch2的地址为

好了万事俱备，编写txt,注意小端序排序

(ab,可以写成cc, a2可以写成c5)
成功！