这篇 WP 没有写完！！！

我还没有完成这篇 WP，因为有太多的源码没有研究，建议您看这一篇

写在前面

这道题是一个 _IO_FILE 利用，大概是我做过的最难的一道题，基本是看着 wp 才做出来的。同时 _IO_FILE 利用和源码的联系非常紧密，之后我会仔细研究一下源码，现在这篇 wp 还是非常的不成熟，许多地方我没有详细解释。

XCTF 提供了莫名其妙的附件，不能解压。所以只好自己找 binary。下载链接

前置知识

这道题出现了 mmap 的情况，这是我之前不曾碰到过的。

红框中申请了一个巨大的空间，引用华庭《glibc内存管理ptmalloc源代码分析》中的分析

这是一个挺有意思的栈溢出题，很久没做过栈溢出了，居然看了很久才发现漏洞点是栈溢出..

这里很明显有栈溢出，然后下面的

result = sub_400B92();
if ( result != v2 )
sub_400BD4();

感觉像是 canary，但是 checksec 一下发现并没有开启 canary