Esta es una de las primeras vulnerabilidades que he intentado explotar por mi cuenta para ampliar mi conocimiento de las vulnerabilidades.
Este es un buen resumen de vulnerabilidad . He podido controlar EIP pero no estoy seguro de cómo ejecutar el código.
Mi máquina de prueba es Ubuntu 11.10 y tiene ASLR habilitado junto con NX para la pila, el montón y las bibliotecas. La cadena que controlo (como se describe en el artículo) se almacena en el montón, por lo que no puedo colocar ningún código allí ya que no es ejecutable. Aparte de EIP, también controlo el registro EDI, pero eso es todo. Este es un sistema de 32 bits, por lo que la fuerza bruta es suficiente para derrotar a ASLR (además, no tengo ningún otro mecanismo de seguridad, no es muy realista, pero es un buen comienzo).
EDITAR:
Acabo de encontrar este PoC . Básicamente, el autor llega al mismo lugar donde estoy y luego confía en el código del servidor PHP para dar un paso más allá para poder leer la memoria del proceso de Apache. Afirma que la ejecución del código es "altamente posible", pero no entra en mucho más detalle.