#######################################################################

                             Luigi Auriemma

Application:  DATAC RealWin
              http://www.dataconline.com/software/realwin.php
              http://www.realflex.com
Versions:     <= 2.1 (Build 6.1.10.10)
Platforms:    Windows
Bug:          stack overflow
Exploitation: remote, versus server
Date:         21 Mar 2011 (found 25 Nov 2010)
Author:       Luigi Auriemma
              e-mail: aluigi@autistici.org
              web:    aluigi.org


#######################################################################


1) Introduction
2) Bug
3) The Code
4) Fix


#######################################################################

===============
1) Introduction
===============


"RealWin is a SCADA server package for medium / small applications."


#######################################################################

======
2) Bug
======


The part of the server listening on port 910 is vulnerable to a buffer
overflow happening in the function 004be510 that splits the input
strings using some delimiters passed by the callee functions and copies
them in a stack buffer of 1024 bytes.

One of the ways to exploit the vulnerability in that function is
through an On_FC_CONNECT_FCS_LOGIN packet containing a long username.


#######################################################################

===========
3) The Code
===========


http://aluigi.org/poc/realwin_2.zip

  nc SERVER 910 < realwin_2.dat


#######################################################################

======
4) Fix
======


No fix.


#######################################################################