本题自实现了堆的申请写释放。由于ollvm的原因，堆的管理部分代码比较整理，而且ollvm还加入了死循环，去ollvm有点困难，没有尝试，选择硬看了。

程序将堆大小限制在0x100以内。堆的申请和释放与我们所认识的有些类似，也有差别，算是简化实现版。有可以存放16种不同大小已释放的chunk地址，有topchunk，有1个双链表bin，有pre_used。结构上的不同在于：pre_used置位表示释放。在malloc和free的实现部分，大致检查与我们熟知的也差不太多。malloc时先会检查已释放的列表中有没有相同大小的已释放的chunk，同时也会检查该chunk是不是最后一个chunk，会检查双链表及其它有关size的一些检查，如果该chunk通过检查，则会有unlink的过程和pre_used位的修改，最终返回该chunk。free中也会有malloc的相同检查，还有pre_used位的检查，并且会排序将chunk的数据指针插入双链表中（似乎程序在这部分有些小BUG，不知是作者有意还是无意留的）。有这些了解，做题也基本够了。

首先此题比较明显的漏洞是UAF，释放堆后，并清除堆指针。这样就可以随便的修改已释放的chunk数据区。如果能伪造chunk插入到双链表中，通过malloc部分的unlink，则能把某地址写到bss区存储已申请的堆地址的部分，从而可以修改这部分的堆指针，实现任意地址写。

注意到memset的buf是上一个留下的choice，通过任意地址写，把memset指向printf的plt表，memset就成了printf。然后人为构造格式化字符串，就可以leak了。leak时附近正好有alarm的地址指针，就选择leakalarm地址，之后计算得到system的地址，再把strtol地址改写成system的地址，然后就可以get shell了。

代码如下：

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。