ROPgadget --binary ./pwn --only "ldp|ret"
看到最长的那个就是,我们得到rop链的入口0x400ff8接下来使用x30寄存器跳转的地址就是0x400ff8-0x20也就是0x400fd8这块.rop链第一阶段的目的是将0x400fd8填充到x30寄存器中。
也可以用rop
ROPgadget --binary ./chall --only "ldr|mov|add|blr"
找到rop链链接的第二个片段入口
最后我们可以在x3中填充我们想要的地址,比如libc中的system地址。