buffer over flow con un set limitato di caratteri

Ciao a tutta la lista, anche se ancora forse siamo in pochi.

Sicuramente avete seguito l'interessante thread su bugtraq
a proposito del buffer overflow della dll per la lettura
degli rtf con un set limitato di caratteri. Un caso omologo
nei sisitemi Unix e' l'overflow di cfingerd che avevo postato
qualche tempo fa su bugtraq. Sarebbe molto interessante capire cosa
si puo' fare in ambiente Unix avendo a disposizione un centinaio di
bytes ed un set di istruzioni limitato. Ho fatto qualche prova un po'
di tempo fa, e se le limitazioni non sono troppo grandi e' possibile
cercare di far saltare l'esecuzione del programma in una zona del testo
dove e' presente una qualche exec(2). Ci sono delle applicazioni che
contengono righe di codice tipo exec("/bin/sh", "sh", NULL) all'interno
del codice. Questa e' una pratica cattiva IMO, poiche' e' possibile
exploitare una applicazione di questo tipo con una manciata di bytes
di buffer visto che  non e' necessario inserire lo shellcode nello
stack. Tra l'altro e' da notare che un exploit di questo tipo elude
tutte le tecniche di protezione di esecuzione dello stack (non quelle
di protezione di modifica dell'indirizzo di ritorno, quali per esempio
stackguard / stackshield). Qualcuno ha qualche idea su cosa e' possibile fare
in questi casi? Ha gia' provato ad exploitare apps tipo cfingerd? Esistono
dei papers? L'impressione e' che papers come quello di Aleph1, nel
1999 siano diventati assolutamente obsolescenti dato che ora il punto e'
sorpassare le tecniche di protezione, avvalersi di attacchi evoluti che
utilizzano ad esempio i puntatori a funzioni e exploitare anche quando
il set di caratteri per l'indirizzo di ritorno e per l'exploit e' limitato.

ciao,
antirez