寒假训练 sctf_2019_one_heap(12/250)

最近一直在接触通过stdout来leak libc的地址，总结出了一点东西

由于没有show函数，所以我们肯定要把chunk放入unsorted bin中，然后修改低2字节即可指向stdout所指的_IO_FILE结构体

不过我好像看到还有用stderr的，由于没有深入的逆过，所以还不清楚，不过这方面leak libc的基本上就是这样的思路了

思路

通过stdout来leak libc，然后tache attack劫持malloc hook即可（由于这题涉及到了调节堆栈，我是先看了https://www.freesion.com/article/7253509267/这篇文章才写出来的，所以我打算过几天来写这个脚本）