这样就能正常结束这个Fastbin reverse into tcache的过程,但是由于这道题我们缺乏free的机会,如果就此停手,我们再被迫free掉一个被篡改size的chunk去泄露libc,就没有free机会供我们利用了。因此我们既要正常通过Fastbin reverse into tcache的流程,又要留给自己一些仍在fasbin/tcache中的堆块。 从平稳过关,到再留一手 ...
这种题目第一步还是需要泄露libc地址,因为malloc的时候固定0x68所以我们不能用到unsortbin,先申请7个chunk,将tcache填满,再利用fastbin reverse into tcache,因为在delete的时候存在UAF,所以我们可以在fastbin做double free,注意一个点,就是当tcache为空,我们从fastbin申请chunk时,会将fastbin中剩下的chunk给放入tcache中...