又是堆题，查看保护 再看ida 大致就是alloc创建堆块，free释放堆块，fill填充堆块，以及一个getshell的函数，但要满足条件。 值得注意的是free函数没有清空堆块指针 所以可以用double free 有两种解法 解法一（double free）： 完整exp： from pwn import*context(log_level='debug')p