修改_IO_2_1_stdout_的_IO_write_base的低字节为0x58和_flags为0xfbad1887,泄露出libc的地址 再次劫持整个_IO_2_1_stdout_结构,直接伪造vtable,然后利用puts的调用链,执行system("/bin/sh") 泄露地址: 思路二 就是利用unlink爆破四个bit位劫持stdout,然后再劫持__malloc_hook为