第二次碰到这题，上次无思路放弃了，这次觉得不能放弃了，就学习了一下，也算是开拓一下利用的思路吧。

又是如此，只有分配和回收，保护全开。和昨天做的 Re-alloc Revenge 很像，不过此题 libc 版本为 2.23，难度陡增。

…

前段时间做了一道利用 realloc 的题，感觉很有意思。看到此题的名字就有了兴趣，于是花了一天解了一下。

关于 realloc 的特性和攻击 _IO_FILE，本文不再赘述，可见此 WP TWCTF_online_2019_asterisk_alloc

…

比较简单的栈溢出加堆溢出。

此处在 cnt >= 100 时有单字节溢出，会把 nbytes 溢出成 n

然后通过此处

修改 buf，使之指向栈上一段可控空间

比如这一段，我们可以轻易地布置 fake chunk

…