标题: CVE-2024-2961 完整 RCE 链详解：1字节 glibc 溢出如何秒杀 PHP（Web手视角）
作者: #YMsora
板块: #开发调优
编号: 2024739
帖子: https://linux.do/t/topic/2024739
时间: 2026-04-22 00:45:18
摘要:

CVE-2024-2961 完整 RCE 链详解：1字节 glibc 溢出如何秒杀 PHP
这里算是我为数不多接触到pwn的一次，但是我这次机会想到，我有必要进行对pwn的学习
当然，这次是PHP的多链引发的想法，涉及了一个PWN相关影响深远的CVE，CVE-2025-2961.
我会用WEB手也通俗易懂的语言来讲解，这个CVE网上相关文章也很多，我也就阐述一下自己观点
这个CVE的是发生在iconv函数中，并且基本上是在转义函数可控的情况下发生的，
这里先说说前置概念，这个缓冲区溢出是因为ISO-2022-CN-EXT的SS2/SS3切换缺乏缓冲区校验引起的
ISO-2022-CN-EXT是一个中文字符编码形式，假设这个编码是一个柜子，那么SS2，SS3就是抽屉，用来存个别字符的柜子
我们先看一看简化的关键源码，
else if ((used & SS2_mask) != 0 && (ann & SS2_ann) != (used << 8)) {
    const char *escseq;
    assert (used == CNS11643_2_set); /* XXX */
    escseq = "*H";
    *outptr++ = ESC;          // 0x1B
    *outptr++ = '$';          // 0x24
    *outptr++ = *escseq++;    // 0x2A
    *outptr++ = *escseq++;    // 0x48
    ann = (ann & ~SS2_ann) | (used << 8);
}
else if ((used & SS3_mask) != 0 && (ann & SS3_ann) != (used << 8)) {
    const char *escseq;
    assert ((used >> 5) >= 3 && (used >> 5) <= 7);
    escseq = "+I+J+K+L+M" + ((used >> 5) - 3) * 2;
    *outptr++ = ESC;
    *outptr++ = '$';
    *outptr++ = *escseq++;
    *outptr++ = *escseq++;
    ann = (ann & ~SS3_ann) | (used << 8);
}

当识别是SS2/SS3的时候在缓存区写入我注视的这一串命令，而这里并没有校验缓冲区是否够存放，
所以会造成缓冲区溢出，这个理念倒是非常清晰易懂，但是难点是如何利用进行RCE。
在PHP中控制了拥有读文件等操作，在漏洞版本范围内，便可上升为RCE
这里要先从PHP的内存管理机制说起，读文件可以用过滤器php://filter
而filter支持dechunk自定义块，在一块内存中，如果不停发送dechunk也就可以自定义每块的大小，
file_get_contents("php://filter/
    dechunk|
    convert.iconv.latin1.latin1|
    convert.iconv.latin1.latin1|
    （重复多次堆喷）
    convert.iconv.UTF-8.ISO-2022-CN-EXT
/resource=/etc/passwd");

也就是空闲内存，然后当中插入受害块，也就是ISO-2022-CN-EXT的SS2/SS3
进行编码转换命令时分到的块，而有几个特殊的汉字会使其溢出，这样就会溢出到相邻块，
也就会污染相邻块的最低位，往往是0x48，也就是说最低位0000变为0x48，这样内存释放时
free_solts的这部分内存指向就变了，链表被毒化之后，
攻击者利用堆喷(简略概括)，将许多空闲内存都挂上string对象，而其中是有len属性的，
当正常执行一次构造字符串时，地址偏移让正常写字符串的操作写入了len字段
这样len的长度可以被改的超级大，这样就泄漏了大量系统函数的地址
接下来就是RCE
PHP的内存管理器是ZENDMM，他是一个大内存池，
它控制分配这些内存的供给与释放，而其中_zend_mm_heap结构的子结构custom_heap控制内存释放的指针
它控制着内存释放的时候指向的函数指针
如此一来我调用dechunk结合之前泄漏的地址，任意写入custom_heap，将指针覆盖为system()的地址
//简化结构
typedef struct _zend_mm_custom_heap {
    void (*_free)(void *ptr);   // ← 要改的目标
    // ...
} custom_heap;

_zend_mm_heap->custom_heap._free = system();  // 攻击者通过 overlap 实现

也就是每次内存释放都会调用
当然PHP的内存调用是很频繁的，
最后将要执行的命令放入一个可控的zend_string对象中，也就是一个挂载其的对象，然后触发一次内存释放，
命令也就执行了。

标题: 请问我的cc ccusage没有详细表格了？ 还有就是mac上什么终端的多窗口用的舒服呀？
作者: #gamemo
板块: #开发调优
编号: 2024747
帖子: https://linux.do/t/topic/2024747
时间: 2026-04-22 00:49:51
摘要:

试了好几遍都只能出现这么点
npx ccusage@latest
npx -y ccusage
是我指令有问题吗

标题: 【纯交流信息】Plus今天漏洞刚被堵上，现在又出现了一个号称印度的bot，能够开plus
作者: #菠萝吹雪
板块: #搞七捻三
编号: 2024748
帖子: https://linux.do/t/topic/2024748
时间: 2026-04-22 00:49:55
摘要:

plus的谷歌订阅漏洞补上了，2个小时前，又有一个bot，号称印度人的，也是跟上次拉人头送plus/pro一样，疯狂在tg里面刷屏，不知道是真是假，难道又是一轮商战，暂时还是没有看到别人说他们开好了，有见过这个bot的佬友吗？不知道这个bot的可信度是多少。

标题: Claude现已正式向中国用户开放！
作者: #𝑰 𝒄𝒂𝒏 𝒅𝒐 𝒕𝒉𝒊𝒔.
板块: #搞七捻三
编号: 2024761
帖子: https://linux.do/t/topic/2024761
时间: 2026-04-22 00:54:12
摘要:

这是真的，不信你试试 claude.ai

标题: 新加入，希望可以多想大家学习！
作者: #王恩泽
板块: #搞七捻三
编号: 2024767
帖子: https://linux.do/t/topic/2024767
时间: 2026-04-22 00:56:54
摘要:

第一次发帖，希望请大家多多指教！其实想参与抽奖，但是我没看到怎么回复，因为刚注册无法回复别人吗？

标题: 除了paddleocr还有其他还用的好用图片（带数学公式）的图片识别工具吗？
作者: #soycodetrail
板块: #开发调优
编号: 2024804
帖子: https://linux.do/t/topic/2024804
时间: 2026-04-22 01:11:44
摘要:

求问各位大佬，有没有好用的图片识别工具，支持拍照或者上传图片，可以自动识别提取图片里的内容（带数学公式），并简单排版的工具推荐？

标题: [NSFW]发现个新大陆，N多在线真4K，还带字幕…
作者: #龙哥
板块: #搞七捻三
编号: 2024805
帖子: https://linux.do/t/topic/2024805
时间: 2026-04-22 01:12:25
摘要:

yandex搜资源搜到的，未满18岁小朋友勿点https://getav.net/zh

标题: [投票]想知道佬们对智谱plan的使用程度
作者: #lin ye
板块: #国产替代
编号: 2024818
帖子: https://linux.do/t/topic/2024818
时间: 2026-04-22 01:19:28
摘要:

是这样的，我自己买了智谱官方的套餐，但是因为小杯模型比不过廉价的gpt，再加上老是429给我整红温了，所以只用了一点就没用，放公益去了（现在在hub站上）。
于是我想知道佬们对于智谱套餐的使用程度怎么样。按照官方套餐的说法，lite:pro:max是1:5:20，于是我想了一个计分方式：

[!INFO]+ 计算分数
如果是lite套餐，那么每用1M算100分
如果是pro套餐，那么每用1M算20分
如果是max套餐，那么每用1M算5分

看看佬友一个套餐周期（30天）是多少分
我只有14520分


小于10
10-49
50-99
100-499
500-999
1000-4999
5000-9999
10000-49999
50000-99999
100000-499999
500000-999999
1000000以上（？

Click to view the poll.
话说如果低分的人多，智谱会不会变本加厉的超卖

标题: 闲置服务器出租
作者: #mt114514
板块: #搞七捻三
编号: 2024823
帖子: https://linux.do/t/topic/2024823
时间: 2026-04-22 01:21:09
摘要:

如题，我家里有一台闲置的家里云，cpu是5700x，有公网ip，之前是拿来开mc服务器的，可以拿来开服用，就捞个电费钱，来问问有没有佬友需要的

标题: 又升级了，突然开心
作者: #北漂的俺
板块: #搞七捻三
编号: 2024835
帖子: https://linux.do/t/topic/2024835
时间: 2026-04-22 01:26:13
摘要:

0点出的公司，到家洗漱完躺床上再瞄一眼社区，就2级了

标题: claudecode 网络求助
作者: #blackphoenix
板块: #开发调优
编号: 2024856
帖子: https://linux.do/t/topic/2024856
时间: 2026-04-22 01:45:30
摘要:

本地IP 192.168.0.17 → 
DNS服务器 198.18.0.2（utun8）代理接管 → 
纯净美国家宅IP
这种ip链路可以用cc嘛，有没有大神指导下，shadowrocket设置的链式代理