读万卷书，行万里路！

总结根据本题，学习与收获有： 非栈上的格式化字符串漏洞与栈上格式化字符串不同，主要区别在于无法直接使用%XXc$XXp + addr，去往指定地址

总结本题与这篇文章或者这篇文章的思路是一模一样的，但是由于有个eidt功能，所以利用起来更方便。 主要思路是： 构造fastbin和unsort

random 总结根据本题，学习与收获有： 有时候IDA反编译出来的代码不一定准确，需要结合汇编代码进行分析 之前的__stack_chk_fail函数，如

总结根据本题，学习与收获有： stdout结构体上方和malloc_hook上方均能伪造大小为0x70的chunk。一个用来泄露libc地址，

总结根据本题，学习与收获有： house of force不需要保证top chunk的size域是合法的，但是house of orange需要保证size域合法

这是专门为本地调试与远程答题准备的脚本，依靠命令行参数进行控制。 本脚本支持的功能有： 本地调试 开启tmux调试 设置gdb断点，支持函数名断点、

之前调试pwn题的时候，有时候需要将某些特别的，重要的信息用不一样的颜色打印出来。查阅一些资料，了解了print函数的特性后，自己写了一个脚

总结根据本题，学习与收获有： tcache attack时 如果可以利用tcache_perthread_struct，优先考虑利用这个结构体，可以省去很多

总结根据本题，学习与收获有： printf的字符串，如果是在堆上，那么就无法在栈上写地址利用%x$hn去修改 printf会一次性取出所有的偏移

总结做完这道题后总结如下： realloc功能比较多，使用需要谨慎 可利用修改stdout结构体的flags和_IO_write_base来泄露

总结本题主要为printf格式化字符串漏洞，最好的方式是手写fmt payload，然后有一些新的知识点： pwntools的fmtstr_pa

总结做完这道题，收获如下： 1）汇编语句jmp short s，最后编译出来的机器码为\xEB\x??，问号代表pc寄存器会往前或往后跳转x个字节，x的范

总结根据本题，学习与收获有： tcache bin的利用都不需要伪造chunk，直接修改tcache chunk的next指针即可。但是libc2.27之后