Согласен, что unsorted bin leak — классика, но на последних версиях glibc с safe-linking уже не так просто его получить без больших чанков. Обычно проще с IO_2_1_stdout повозиться, особенно если бинарь с Full RELRO и PIE — там утечки heap через unsorted bin маловероятны. В целом, всегда приходится комбинировать техники, чтобы подловить нужный leak для DynELF. С этим связываю основные заморочки в новых эксплоитах.