函数返回时，会存在寄存器指向存储变量的位置，其中最为常见的就是rsp寄存器，它永远指向当前程序栈顶的位置，除此之外，也可能存在其他的寄存器保存着缓冲区变量的位置。

ret2reg有两点要求，一是缓冲区变量可以容纳Shellcode，二是缓冲区变量所在的内存页是可以在执行的。

为了实现程序控制流的跳转，我们需要除了需要向缓冲区变量内注入Shellcode，还需要将函数的返回地址改成call xxx或jmp xxx指令的地址（xxx为寄存器）。

当然想要利用寄存器还有一点需要确认，就是寄存器的数值在函数返回时是可以使用的，而函数返回前就被覆盖了。

在x86_64架构中程序中，经常可以看到rax寄存器从栈上、只读区域等地方获取数值，对于GLibC来讲，调用的函数或跳转的位置常常是运行期才会完成确认，因此GlibC中就会经常看到，函数先取出数值到rax寄存器中，然后再通过call或jmp指令，调用rax寄存器内的信息。

通过GCC编译器产生的程序，在其最终生成的ELF文件内，经常可以看到GLibC插入的代码，这些代码直接给我们提供了call rax和jmp rax指令。

其中_init函数会使用caal rax指令，该rax寄存器中数据的来源是ELF文件内的.got节，它会根据PREINIT_FUNCTION函数是否存在，然后进行调用。PREINIT_FUNCTION函数对应着__gmon_start__，当程序启用分析功能时，LD就修改.got节中数据，让程序再这里进行分析功能的初始化。

除了_init函数之外，当然还有其他函数也具备call rax或jmp rax的特征，只要是符合调用运行期才会解析的函数的特点。

本程序的保护情况如下所示，不难看出当前程序没有任何的保护。

从程序的反汇编结果中可以看到，vuln是一个存在缓冲区溢出漏洞的函数，缓冲区变量拥有足够的空间容纳Shellcode，而且fgets函数的返回值就是缓冲区变量的所在地址，正好位于rax寄存器中，如果我们能找到call rax或jmp rax指令的所在地址，就可以让程序在返回时前往缓冲区变量，进而执行缓冲区变量内的Shellcode。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！