由于off造成的两种利用手段

1.off by one one为可控字节从\x00-\xff

2.off by null 为不可控固定为\x00

off by null 利用限制，生成的chunk大小必须大于0x100才能0字节覆盖

对于不同的题目给出的堆大小限制，有不同的排布手段

extend

无法直接形成unsortedbin的，可以考虑fastbin extend来控制fastbin的fd指针从而使得下次申请在你想利用的hook上

堆布局举例

overlap

可以形成unsortedbin的，考虑overlap构造，使得堆复用（2个指针指向一个堆），一个free，一个去edit他的fd。（2.23的fd，bk都要改，因为此时他是个unsortedbin，2.27的直接进tcache了，靠的是fd寻址，直接改fd）

堆布局举例

小结

其实堆题的堆排布，最主要的还是利用GDB自己调试，调试的过程中多观察heaparry以及bin，也许有时候你想要的堆布局就出来了。

关于2.27下的off by one 和 off by null的模板其实就是强网拟态这次的这3道off全家桶，2.31暂时未掌握，有空再看。