非常友好的堆题，uaf 直接用，libc 和 heap 地址随便拿，但是故意搞了个沙箱，不能使用 execve 只能打 orw. 由于 orw 需要较长的执行链，所以一般打 ROP 会比较方便。打 ROP 就要获取栈地址，这个在获得 libc 地址后可以通过 leak environ 变量中的内容实现。 Arch: amd64-64-little …