一道虚拟机 pwn 题，大概是最入门的级别的了，也是此类题型我做的第一道，感觉主要的难点在逆向而非利用，理解程序行为和发现漏洞点后就不难做出了。

逆向分析

此程序模拟了一个数据段，一个代码段和一个栈段

…

hitcon 的题目还是非常有质量且紧跟时代潮流的，在 2019 年连出两道和 libc 2.29 相关的堆利用题，一题是 one_punch，我的 WP，另一题就是就是本题，我并未在网络上找到环境，题目的二进制文件和 libc 可以在这里下载。Angel Boy 的题目自然质量有保证，我做了半天多才整出来。我使用的方法是所谓的 Tcache stash unlink attack+，在网络上并没有找到详细的同方法 WP，所以我这一篇就写的详细一些。

…

相当麻烦的格式化字符串和 .fini 数组利用结合的题目，由于是 pwnable 的题，这里只简单记录一下思路

首先，printf 是很裸的，但是执行完后就会直接 exit，这肯定不行，首要的是要做到能够重复利用。exit 在执行时，会遍历 .fini 数组中的所有函数并执行。程序没有开启 PIE，自然会想到修改 .fini 数组，但是该数组不可写，就需要用别的方法。在调用 .fini 数组中的函数的 _dl_fini 中有这样一段代码

…