YMsora 在 CVE-2024-2961 完整 RCE 链详解：1字节 glibc 溢出如何秒杀 PHP（Web手视角）中发帖CVE-2024-2961 完整 RCE 链详解：1字节 glibc 溢出如何秒杀 PHP这里算是我为数不多接触到pwn的一次，但是我这次机会想到，我有必要进行对pwn的学习当然，这次是PHP的多链引发的想法，涉及了一个PWN相关影响深远的CVE，CVE-2025-2961. 我会用WEB手也通俗易懂的语言来讲解，这个CVE网上相关文章也很多，我也就阐述一下自己观点这个CVE的是发生在iconv函数中，并且基本上是在转义函数可控的情况下发生的，这里先说说前置概念，这个缓冲区溢出是因为ISO-2022-CN-EXT的SS2/SS3切换缺乏缓冲区校验引起的 ISO-2022-CN-EXT是一个中文字符编码形式，假设这个编码是一个柜子，那么SS2，SS3就是抽屉，用来存个别字符的柜子我们先看一看简化的关键源码， else if ((used & SS2_mask) != ...

YMsora 在 CVE-2024-2961 完整 RCE 链详解：1字节 glibc 溢出如何秒杀 PHP（Web手视角）中发帖

CVE-2024-2961 完整 RCE 链详解：1字节 glibc 溢出如何秒杀 PHP
这里算是我为数不多接触到pwn的一次，但是我这次机会想到，我有必要进行对pwn的学习 
当然，这次是PHP的多链引发的想法，涉及了一个PWN相关影响深远的CVE，CVE-2025-2961. 
我会用WEB手也通俗易懂的语言来讲解，这个CVE网上相关文章也很多，我也就阐述一下自己观点 
这个CVE的是发生在iconv函数中，并且基本上是在转义函数可控的情况下发生的， 
这里先说说前置概念，这个缓冲区溢出是因为ISO-2022-CN-EXT的SS2/SS3切换缺乏缓冲区校验引起的 
ISO-2022-CN-EXT是一个中文字符编码形式，假设这个编码是一个柜子，那么SS2，SS3就是抽屉，用来存个别字符的柜子 
我们先看一看简化的关键源码， 
else if ((used & SS2_mask) != ...