tcache poisoning을 이용해서 aaw, aar을 수행하는데, 여기서 DFB가 들어가야 하는 이유를 잘 모르겠습니다.

edit()함수를 이용해서 key값을 변경할 수 있는것을 생각해보면, edit()을 이용해서 fd값도 변경할 수 있으니 굳이 DFB를 하지 않아도 되는 것 아닌가요?

실제로 DFB를 이용하지 않더라도, edit()함수를 이용해서 stdout의 주소를 가져왔고, libc base를 leak했습니다.

여기서 왜 DFB를 사용해야 하는 것 인가요?