这里就不分析了。有兴趣可以自己分析，其实就是弹出一计算器。
总结
第一次分析漏洞触发的原因，而且是堆环境复杂的浏览器漏洞，一开始真是不知道如何 下手。感觉这种use after free的漏洞就是通过桟回溯找到对象的创建、销毁、再使用过 程。尤其是搞清楚为何会再次被使用，像这个漏洞，它能再次被使用是由于喷射覆盖了对象 内存区域的原因。笔者一开始去掉了堆喷射，却怎么也触发不了异常，怎么都想不明白。后 来思路一换，把81^1100如破坏掉，然后桟回溯慢慢分析。最终找到了原因。
此次的R0P构造真是一个精细活，尤其是要在BugTrigger的跳转中通过控制[即1+8]的值不 为0来反复调用虚函数（call [ecx+0x70])。并且过0£?的函数地址是通过稳定的偏移获取 的。这些在上面都有详细说明，就不多说了。总之，这是一个经典的use after free漏洞