环境配置

1. Android SDK
2. IDA Pro
3. DDMS

ADB

检查环境变量

babydroid

Intent 重定向

题目是安恒给的，难度主要是“简单”和“中等”的，估计是比较早的题目了。

PWN

两个 PWN 都没给 libc，怀疑题目是比较早的题目，用 double free leak 了一下，发现就是 2.23，和本机环境一致。

在有些情况下，我们需要知道 TLS 的位置以便于修改其中的一些值，例如 canary、tcache struct ptr、key。

但是在大多数情况下，远程的 ld.so 距离 libc 基址的位置不确定与本地 patchelf 之后的不一致，这时候优先可以考虑起一个 docker 来看看偏移（因为题目大多数都是用 docker 搭建的），我这里推荐这个项目：https://github.com/PIG-007/pwnDockerAll。

00 前言

在 HWS2021 入营选拔比赛的时候，遇到了一道 QEMU 逃逸的题目，那个时候就直接莽上去分析了一通，东拼西凑的把 EXP 写了出来。但实际上并没有怎么理解其具体是怎么实现的，有些操作这样做背后的原理是什么。而通常我对于比赛过程中学习到的内容，都会通过写详细的 Writeup 的这个过程来系统的学习。但是 QEMU 逃逸这部分的内容实在是比较复杂，而且涉及到了很多我完全没有了解过的知识，所以一直鸽到了现在。

一、总览

Printf 格式化参数用法

这部分内容理应当属于学习 C 语言过程中应该掌握的，但是实际上在漏洞利用过程中会用到一些平常编写程序不常见的内容，所以这里为后文铺垫一下。