Muy buenas! Acabo de encontrar en un programa un buffer overflow algo gracioso:

Se leen todos los bytes de un archivo y se guardan en un buffer en la dirección 0x088399C8. Hasta ahí todo bien. Luego se comprueban cuáles de todos esos bytes están en el rango 'A'-'Z' y si es así, se meten en un segundo buffer de caracteres en el stack. Si rellenamos el archivo con muchos bytes 'A'-'Z', este segundo buffer peta y acabamos con varios registros modificados, incluido el EIP.

El problema es cómo desviar la ejecución a la dirección que me interesa si solo soy capaz de meter bytes de la 'A' a la 'Z' en el EIP, es decir, solo puedo lograr cosas como 0x41414141, 0x41424344, 0x534E4F50, ... En el EAX o ECX creo que aún podría hacer un apaño para que cogiese un valor arbitrario.
¿Alguna idea de por donde seguir? ¿Es esto una limitación imposible de saltar al diseñar un exploit?

Tan solo bastaría lograr de alguna manera un salto a 0x088399C8 para lograr la queridísima "ejecución de código arbitrario", por desgracia 0x08, 0x83, 0x99 y 0xC8 no son "letras mayúsculas".
 

Todo solucionado.
Aprovechando que EDI apuntaba a un buffer que contenía todos los bytes (y no solo las mayúsculas), me bastó con buscar una dirección de la memoria representable con letras mayúsculas que contuviese un CALL EDI.

Al final lo encontré en 0x44465346 ("FSFD"), que correspondía en este programa a "urlmon.dll". Luego me encontré con que el cabrón del programa metía un 0xC3 (RETN) delante de cada byte no imprimible en ASCII, así que tuve que hacer algunas cosa más, pero bueno fue fácil.

El resultado es éste (podeis considerarlo el PoC de un 0day si quereis):

Hola! No he entendido muy bien eso XD..
Pero he escrito un post en mi blog sobre la vulnerabilidad y como explotarla:
http://functionmixer.blogspot.com.es/2013/03/vulnerabilidad-virtualdj-prohome-73.html

Me refiero es que hay dos buffers que toman el valor del título del MP3:

• El primero almacena todos los caracteres ASCII imprimibles del título (si no lo son, mete un RETN delante "por si acaso"). Este primer buffer no es vulnerable
• El segundo, de longitud 4100, almacena caracters ASCII de la A a la Z que contenga el título y es en este donde esta el problema.

...el resto lo explico en el artículo de antes y mi mensaje anterior. 
Incluyo el código también así que puedes explotarlo y con algun depurador ver lo que sucede.