####################################################################### Luigi Auriemma Application: DATAC RealWin http://www.dataconline.com/software/realwin.php http://www.realflex.com Versions: <= 2.1 (Build 6.1.10.10) Platforms: Windows Bug: stack overflow Exploitation: remote, versus server Date: 21 Mar 2011 (found 25 Nov 2010) Author: Luigi Auriemma e-mail: aluigi@autistici.org web: aluigi.org ####################################################################### 1) Introduction 2) Bug 3) The Code 4) Fix ####################################################################### =============== 1) Introduction =============== "RealWin is a SCADA server package for medium / small applications." ####################################################################### ====== 2) Bug ====== The part of the server listening on port 910 is vulnerable to some buffer overflows happening during the handling of the On_FC_CTAGLIST_FCS_CADDTAG, On_FC_CTAGLIST_FCS_CDELTAG and On_FC_CTAGLIST_FCS_ADDTAGMS packets where the input strings are copied in a stack buffer of 1024 bytes. The bugs are located in different functions but I have grouped them in this same advisory because the format and the performed operations are similar. List of the vulnerable functions: - realwin_3a: 0042f770 - realwin_3b: 0042f670 - realwin_3c: 0042f9c0 ####################################################################### =========== 3) The Code =========== http://aluigi.org/poc/realwin_3.zip nc SERVER 910 < realwin_3?.dat ####################################################################### ====== 4) Fix ====== No fix. #######################################################################