通用

IO_FILE
格式化字符串leak

Libc

打印got表内容（NO PIE/elf_base已知）
unsorted_bin/largebin → fd/bk
申请大堆块（0x200000以上），使用mmap，空间在libc上方，偏移固定

Stack

libc.symbols["environ"]
__libc_argv，需要有调试符号，在gdb中搜索

ELF Base

glibc上存在三个指针分别指向 .bss 上的 stdin/stdout/stderr ，可以用以下命令查找（关闭aslr，基地址为 0x555555554000）：find /b 0x7ffff7d9a000, 0x7ffff7fb5000, 0x55, 0x55, 0x55, 0x55, 0x00, 0x00
栈上存在大量elf_base相关地址（ret地址）

Heap

tcache/fastbin/smallbin/largebin/unsorted_bin → fd/bk， largebin → fd_nextsize/bk_nextsize

ld.so

libc里存在符号：__nptl_rtld_global里面存的是与ld.so相关的地址