Rechercher dans la communauté

Affichage des résultats pour les étiquettes 'Gateway'.

  • Rechercher par étiquettes

    Saisir les étiquettes en les séparant par une virgule.
  • Rechercher par auteur

Type du contenu


Forums

  • Général
    • Le site
    • Le bistrot
    • Sondages
    • Jeux
  • Microsoft
    • Xbox Series X
    • Xbox One
    • Xbox 360
    • Xbox
  • Sony
    • Playstation 5
    • Playstation 4
    • Playstation 3
    • Sony PSP / PS Vita
    • Playstation 2
    • Playstation 1
  • Nintendo
    • Switch
    • Wii U
    • Wii
    • 3DS
    • Anciennes Générations
  • Autres moyens de jouer
    • Forum PC
    • Autres consoles et supports (DC, GP32, Dingo...etc)
    • Smartphones et Tablet (Android/iOS/Win...)
    • Bornes Arcade
  • Annonces
  • Boutique,achats,ventes et divers.

Calendriers

  • Sorties de jeux
  • Evennement
  • Test

Rechercher les résultats dans…

Rechercher les résultats qui contiennent…


Date de création

  • Début

    Fin


Dernière mise à jour

  • Début

    Fin


Filtrer par nombre de…

Inscription

  • Début

    Fin


Groupe


AIM


MSN


Website URL


ICQ


Yahoo


Jabber


Skype


Localisation


Centre d'intérêt


Gamertag


MyPSN

  1. jour à tous, et que je n'arrive pas a faire fonctionnerJe possède plusieurs 3DS (les collector Zelda) Mes deux premières avait une sysnand inférieur à 4.5 lors de leur achat elle fonctionne donc avec le linker Gateway sur Nand émulée. Mes deux autres ayant une sysnand 9 et l'autre en sysnand 10 j'ai installé luma sans trop de souci. je ne rentre pas trop dans les option de luma car je ne sais pas trop m'en servir. Y a t'il possibilité sur mes premières qui utilise le gateway d'installé Luma tout en gardant la possibilité de lancé le linker J'ai chercher partout sur le net, il paraitrais que oui mais je n'ais jamais réussit a installé le A9LH proposé par le gateway car il me manquerai le otp apparement. Après plusieur recherche j'ai compris qu'il fallait le récupérer sur sa propre console mais avec un firmware 2.1. Mais pour suivre ce tuto il faut être en 9.2 (si j'ai bien compris) Si je passe ma console en 9.2 je ne pourrai plus lancer mon gateway (sauf avec le jeu zelda que j'ai mais c'est énervant de toujours changer de cartouche) Et si je suis en 9.2 et que je n'arrive pas a dumper le otp pour installer a9LH je me retrouverais encore coincer avec un gateway qui ne servira plus. J'ai vu dans les options de luma qu'il était possible de créer une emunand (ou rednand), j'ai essayer, ça m'as bien créer une émunand, mais je ne sais pas command la lancer, et a quoi sert-elle, sur cette émunand créer par luma, il est possible de lancer le linker gateway ?? Je ne suis peut-être pas très clair dans mes écrits désolé Je fais donc appel a vous pour mes trois grands souci -> Pourriez vous me guider dans les tuto proposés pour pouvoir installer a9hl sur mes 3DS en 4.5 afin de pouvoir installer des cia tout en gardant le linker -> Est-il possible d'installer luma sur une émunand ?? ce qui logiquement permettrait d'installer des cia sur l'émunand non ?? -> Existe t-il un homebrew (format cia, firm, 3dsx) capable de lancer une emunand sur luma afin de lancer le linker gateway ?? Merci beaucoup de votre aide .
  2. La Team Gateway donne l'information sur le site officiel pour la mise à jour. Elle s'efforce de libérer l'EmuNAND du dernier firmware de Nintendo. " Just a quick update about the new Nintendo 11.3 firmware support on Emunand. As indicated before, we are working really hard to release as soon as possible our new major update that will once again revolutionize the (N)3DS scene. As it is now getting very close, we might have to delay the Emunand latest Nintendo firmware support by a couple of weeks max. We will keep you posted very soon, and be sure that as always, we will offer full support for all Gateway user,even for day one buyers from 4 years ago! For now, please do not update your Emunand until you can read the confirmationof support for 11.3 here. Thank you for your patience, more to come very soon! "
  3. Badablek

    Gateway 4.0b beta2

    Après plusieurs mois de silence et de promesses, la team Gateway propose enfin sa déclinaison du hack A9LH (disponible depuis quelques temps déjà sans le moindre ustensile) adapté à son linker, sous la forme de deux packs : - GW Time Machine, qui permet le downgrade en 2.1.0 (et l'upgrade en 10.3 nécessaire aux O3DS préalablement à tout downgrade) - A9LH Installer, qui permet d'installer A9LH sur la console La combinaison des deux outils devrait à priori grandement faciliter le dump de l'OTP et l'installation d'A9LH. La team fournit également un binaire au format arm9loaderhax.bin, qui permettra de booter directement sur le linker à partir d'une installation "standard" de A9LH (méthode purement software). Un tutorial complet est disponible sur le site officiel, à suivre avec attention. Rappelons en effet que le downgrade 2.1.0 n'est pas anodin et peut mettre en danger votre console (brick). Prudence ! GW_ULTRA_4.0b (Public Beta #2) Packs GW Time Machine : O3DS (Eur) (MD5: 6c45732fccfac04eb8b3e31a987ab593) O3DS (USA) (MD5: e4de534a30e322b6a1826e0ef2668f7a) O3DS (JAP) (MD5: 1be3ed32480a5aad09ac80363570ea12) N3DS (EUR) (MD5: 03c8f123dbe59eaac85b616a3da05a13) N3DS (USA) (MD5: 14180e39d3aeb0573f2dae21846dc571) N3DS (JAP) (MD5: fd4e47999228e1801b15dc30e16ba414) arm9loaderhax.bin (pour ceux qui auraient déjà installé A9LH par la méthode "standard") Site officiel
  4. Bonjour Suite à la maj 10.4 pour 3DS sortie par NINTENDO Gateway sort une nouvelle maj de son linker en date du 19/01/2016 Pour le change log : Support de l'emunand 10.4 pour O3DS et N3DS Fixe du menu pour certains jeux ( centipede) Sauvegarde et restauration rajoutée des fichiers SAV pour CIA et Save Data Filer L button hex and decimal switch too fast fixed in exact cheat search ( pas tout compris ) Ils déconseillent fortement la MAJ en sysnand 10.4 qu'ils ne seront pas en mesure de soutenir avant longtemps Ils déconseillent aussi fortement les méthodes homebrew de downgrade de 10.3 vers la 9.2 il y y trop de risque de brick , ils travaillent à nous fournir une méthode plus sure On dit merci a Gateway de prendre soin de nos consoles Source : http://www.gateway-3ds.com/category/news/
  5. La Team GATEWAY vient tout juste de sortir son nouveau firmware 3.7 pour les linkers Gateway-3DS avec, comme principale nouveauté et pas des moindres, le support de l'emuNAND 10.3 sur New 3DS. Support attendu depuis très longtemps par les possesseurs de NEW3DS et GATEWAY 3DS, la barrière a enfin été franchie. Les principaux avantages d'une emuNAND en 10.3 : accès à l'eShop, jeu en ligne, crypto-fix et spoof des jeux inutiles. La Team en profite aussi pour corriger un bug avec la fonction Triche du linker, quand on tentait d’éditer un code de triche déjà existant parfois c'était un mauvais code qui était affiché, ce souci n'est donc plus présent avec ce nouveau firmware. Changelog : Support de l'emuNAND 10.3 sur New 3DS Correction du bug lors de l'édition des Codes de Triche Firmware GW 3.7-Beta Ultra Site officiel merci à alex793 pour cette news
  6. Suite à la découverte récente d'une nouvelle protection dans certains jeux 3DS récents (Animal Crossing Happy Home Creation et Fire Emblem If), la team Gateway a remis les mains dans le cambouis et propose donc une nouvelle mise à jour qui permet de s'affranchir de ce nouveau mécanisme anti-piratage. Ils en ont profité pour peaufiner leur spoof firmware, en patchant une vérification kernel supplémentaire. Ainsi, les utilisateurs de New3DS (ou ceux qui ne veulent pas mettre à jour le kernel de leur linker) pourront de nouveau profiter des jeux nécessitant un firmware > 9.5, même avec une emuNAND obsolète. Contrairement aux linkers de type sky3DS qui ne peuvent exécuter que des roms 1:1 sans aucun patch possible (pas de bypass des signatures des jeux), le gateway montre ici toute sa supériorité (même s'il n'est utilisable que jusqu'en 9.2). Cette nouvelle AP risque de se répandre comme une traînée de poudre, dans un futur proche, sur les nouveaux jeux...le sky3DS risque d'avoir fort à faire pour contourner cette nouvelle épine. GW_ULTRA_3.4 (Public Beta) Site officiel merci à mouflo pour l'information
  7. La team Gateway est étonnement réactive suite à la sortie de la version 9.8 de Nintendo, et propose donc une rapide mise à jour qui ne concerne que l'emuNAND pour les 3DS classiques. Rien de neuf à l'horizon pour l'emuNAND des New 3DS, mais l'équipe indique travailler sur des choses assez sympathiques, sans pour autant dévoiler quoi que ce soit. Wait and see. GW_ULTRA_3.2.2 (Public Beta) Site officiel merci à Tophe45 pour l'information
  8. Salut a tous, Vieux gamers de 35 ans et papa de deux enfants (7 et 2 ans) j'ai malencontreusement laissé traîner ma console (3DS XL) qui sans vous faire un dessin c'est retrouve mise a jour... et donc exit le gateway. je passe donc a une New 3DS xl Prochainement et avant quelques question se posent a moi.... ayant cherché vainement sur internet je me permet de vous demander cela. j'ai une cartouche de ocarina of time 3D, est t'il possible simplement sans donwgrade ni autre d'une 3DS d'un amis via le site internet + launcher.dat (gateway) de charger dans ma cartouche la save necessaire pour la New 3DS Faut t'il faire attention a l'achat (neuf) de la New 3DSxl concernant une éventuelle version ou une maj rendant la console inutilisable avec le gateway? derniers point, ne sachant pas quand exactement j'aurais accès a une 3DS (classique) avec firmware compatible pour injecter la save dans ocarina of time 3D, est que je peux acheter et jouer sans problème a Xenoblade chronicle? un grand merci par avance a ceux qui prendront la peine de me renseigner Passez une agreable journée
  9. ***MAJ du 01/05/2015*** : ajout de la version 3.2.1 sur notre FTP (merci à Tophe45 d'avoir signalé cette nouvelle version) Cette mise à jour, que l'on peut considérer comme mineure, permet de démarrer plus simplement en mode Normal, même si une emuNAND est présente. Le logiciel "GW_INSTALLER.nds", qui permet d'installer la faille Profil DS à partir du linker bleu, a été lui aussi mis à jour afin de pouvoir fonctionner avec les New 3DS (si vous avez downgradé le menu "Paramètres"). ------------------------------------------------------------------------------------------------------------------------------------------ Après de longues semaines de silence, la team Gateway revient (enfin) avec la mise à jour que tous ses utilisateurs attendaient. Celle-ci permet donc l'emuNAND 9.7 (uniquement sur 3DS classique pour l'instant !), supporte les New 3DS japonaises (en 8.1) et, grande surprise, donne la possibilité de booter en mode Gateway sur New 3DS en passant par la faille profil dans le menu des paramètres, comme pour les 3DS classiques. ! Attention ! l'installation de la faille profil sur New 3DS implique un downgrade du menu des paramètres de votre SYSNAND, ce qui peut s'avérer extrêmement dangereux si mal réalisé. Assurez-vous donc bien d'utiliser le bon fichier .CIA (mset) correspondant à la région de votre console et veillez à bien faire un dump de votre SYSNAND avant toute autre opération ! Pour permettre de démarrer en mode Gateway depuis la faille du profil, sur une New 3DS : 1) Copier le launcher.dat Gateway 3DS 3.2.0 ULTRA sur la microSD de la New 3DS 2) Copier le fichier mset_<region>.cia sur la microSD de la New 3DS (où region correspond à la région de votre console) 3) Copier “DevMenu.3ds” sur la microSD du Gateway 3DS. 4) Démarrer en mode Gateway avec votre méthode préférée (Zelda ou Cubic Ninja) 5) Choisir la nouvelle option “NVRAM INSTALL” du menu et procéder à l'installation. 6) Une fois installé, démarrer en mode Gateway et lancer DevMenu.3ds depuis le menu multi-roms (en appuyant sur SELECT) 7) Démarrer DevMenu et importer mset_<region>.cia depuis votre carte microSD. 8) Redémarrer votre console et vérifier que vous pouvez démarrer en mode Gateway par la méthode "classique" (Paramètres > Profil > Profil Nintendo DS) 9) Profiter ! Plus besoin de cartouche pour démarrer en mode Gateway sur New 3DS ! Je le répète, cette méthode touche à la SYSNAND de la New 3DS, ce qui peut s'avérer extrêmement dangereux pour sa santé ! Redoublez donc de prudence en utilisant bien le fichier .CIA correspondant à la région de votre console et faites avant toute chose un backup de votre SYSNAND (si ce n'est pas déjà fait). La team recommande également de mettre en place l'emuNAND avant cette modification, car en effet, downgrader le menu des paramètres fait perdre les options propres à la New 3DS (calibration du head tracking par exemple). Ainsi, si vous n’êtes pas sûr de vous ou que la méthode de boot actuelle (via Zelda ou Cubic Ninja) vous convient, ne tentez pas le diable ! Il n'est de toute façon pas obligatoire de réinstaller la faille profil pour profiter de votre Gateway sur New 3DS. GW_ULTRA_3.2.1 (Public Beta) Site officiel
  10. On ne l'attendait plus, l'arlésienne du hack 3DS semble enfin décidée à montrer le bout de son nez. La team Gateway vient en effet de publier (enfin) une première version beta du kernel permettant de profiter de leur linker sur New 3DS, jusqu'en 9.2 bien évidemment. Il s'agit encore d'un Work In Progress, qui n'est pas exempt de bugs, mais qui a tout de même le mérite d'être pleinement fonctionnel et devrait ravir ceux qui l'attendaient comme le saint graal et n'y croyaient plus... La méthode de démarrage, similaire à celle utilisée par Cubic Ninja, passe par l'injection d'une sauvegarde hackée dans une cartouche originale de Zelda Ocarina Of Time 3D (ça rappellera le hack Zelda TP de la team Twiizers sur Wii). Ce qui implique bien évidemment d'avoir un moyen d'injecter cette sauvegarde, soit via un moyen hardware (dongle dédié), soit par le biais d'une autre Nintendo 3DS capable d'exécuter le menu Gateway. Pré-requis : - un dongle d'extraction/insertion de sauvegarde OU une 3DS capable d'exécuter le menu Gateway - une cartouche originale de The Legend Of Zelda: Ocarina Of Time 3D (pensez à faire un backup de votre sauvegarde avant toute chose !) - le kernel gateway 3.1.0 ULTRA 1. Copier le kernel Gateway 3.1.0 ULTRA "launcher.dat" sur la microSD interne à la New 3DS (sous la coque). 2. Localiser la sauvegarde Zelda propre à votre région dans le pack du Gateway 3.1.0 ULTRA 3. Restaurer la sauvegarde dans le jeu: en utilisant un dongle hardware OU en passant par le menu de restauration de sauvegarde du menu Gateway sur une 3DS compatible (le fichier de sauvegarde aura été mis au préalable à la racine de la SD de la console) 4. Démarrer votre New 3DS et lancer Zelda OOT 3D 5. Choisir la sauvegarde GATEWAY, Link devrait se retrouver à l'intérieur de sa hutte 6. Appuyer simplement sur A pour charger le menu Gateway. Bravo, vous pouvez maintenant insérer votre linker pour booter en mode Gateway. Il ne fait aucune doute que les chacals de tous bords vont essayer de refourguer des palettes entières de ce jeu à prix d'or...Celles et ceux qui n'auraient pas déjà craqué pour cette magnifique réédition d'un des plus grands jeux vidéo de tous les temps savent désormais ce qu'il leur reste à faire La team indique par ailleurs travailler sur une méthode similaire utilisant Cubic Ninja...wait and see GW_ULTRA_3.1.0 (Public Beta) Site officiel
  11. La team Gateway, bien qu'extrêmement discrète ces derniers temps (au grand dam des utilisateurs de New 3DS), montre toutefois une réactivité surprenante lorsqu'il s'agit de rendre l'emuNAND compatible avec les dernières mises à jour de Nintendo. LA MAJ 9.5.x de la 3DS n'aura donc pas tenu 24 heures avant que le kernel du gateway soit lui aussi mis à jour pour pouvoir en tirer profit. Il était en effet devenu impossible d'utiliser le bouton Select pour choisir son jeu, la version 3.0.4 corrige le problème. Comme d'habitude, il ne faut JAMAIS procéder à la mise à jour de votre emuNAND avant de vous être assurés que le kernel de ce linker est bien compatible. Si vous avez déjà mis à jour l'emuNAND, il vous suffit d'utiliser le launcher.dat 3.0.4 pour retrouver toutes les fonctionnalités du linker. Le silence radio est toujours d'actualité sur le portage de la faille du navigateur sur New 3DS, privant encore les utilisateurs de cette console de gateway. Tout juste apprenions-nous récemment que l'emuNAND sur ce modèle ne serait pas possible au delà de 9.2. GW_ULTRA_3.0.4 (Public Beta) Site officiel
  12. Énième mise à jour "mineure" (du moins pour les consoles EUR/US/JP/CH) pour le gateway, qui corrige un souci (tout de même assez sérieux) de downgrade sur les consoles taïwanaises. Détectées comme des versions chinoises (iQue), le gateway permettait un downgrade avec les fichiers chinois, provoquant un brick pour quiconque se tromperait en téléchargeant le mauvais fichier. rien de neuf pour le reste du monde et toujours pas de support pour les New 3DS... GW_ULTRA_3.0.3 (Public Beta) Site officiel
  13. Salut à tous! Voilà, j'ai acheté à ma fille une 3ds blanche dernièrement en import UK visiblement (chargeur anglais). La version dans les paramètres indique V 2.1.0-4E. J'ai parcouru quelques forums mais j'ai encore des questionnements sur le mode opératoire pour lui ajouter un linker adapté. Je sais que je dois en aucun cas faire la mise à jour système sous peine de me retrouver avec une version 9.4 avec laquelle fini le linker, d'où les questions suivantes : - un gateway peut-il fonctionner directement avec la console en version 2.1? - ou dois-je faire passer la console en version 4.1 à 4.5 avec un jeu spécifique (j'ai vu sur le net toute une liste de jeux compatibles) pour faire fonctionner correctement le gateway? - les autres linkers me semblent moins souples d'utilisation : Sky3ds limité 10 jeux, et R4 3ds pas fiables à ce que j'ai cru comprendre ... Pour être sûr d'avoir bien compris, le gateway permet-il bien de jouer a des jeux ds ET des jeux 3ds (en 3d) et en version .3ds ou .cia à la fois? Merci pour vos réponses! (Ma fille piaille d'impatience, elle n'a encore aucun jeu à mettre dedans!! )
  14. Hello Un peu de lecture si ça intéresse certains, par Yifan Lu : Reversing Gateway Ultra First Stage (Part 1) And now for something completely different As a break from Vita hacking, Ive decided to play around with the Nintendo 3DS exploit released by Gateway yesterday. The 3DS is a much easier console to hack, but unfortunately, the scene is dominated by a piracy company who, ironically, implement various features to protect their intellectual property (one such feature purposely bricks any user of a cloned piracy cartand also legitimate users too). Ethics aside, it would be useful to reverse Gateways exploits and use them for homebrew loading so I took a quick look at it. The first stage of the exploit is an entry-point into the system that allows code to run in the unprivileged user-mode. It is usually used to exploit a kernel vulnerability, which is the second stage. In the unique case of Gateway, the first stage is broken up into two parts (in order for them to obfuscate their payload). I am only going to look at the first part for now. Vulnerability The userland vulnerability is a known use-after-free bug in WebKit found in April last year (and no, the latest Vita firmware is not vulnerable). Depending on the user-agent of the 3DS visiting the exploit page, a different payload for that browser version is sent. A GBATemp user has dumped all the possible payloads, and I used the 4.x one in my analysis (although I believe the only difference in the different payloads are memory offsets). Details This is what the initial first stage payload does: void *_this = 0x08F10000; int *read_len = 0x08F10020; int *buffer = 0x08F01000; int state = 0; int i = 0; FS_MOUNTSDMC("dmc:"); IFile_Open(_this, L"dmc:/Launcher.dat", 0x1); *((int *)_this + 1) = 0x00012000; // fseek according to sm on #3dsdev IFile_Read(_this, read_len, buffer, 0x4000); for (i = 0; i < 0x4000/4; i++){state += 0xD5828281;buffer[i] += state;} The important part here is that the rest of the payload is decrypted from Launcher.dat by creating a stream cipher from a (crappy) PRNG that just increments by 0xD5828281 every iteration. Instead of an xor-pad, it uses an add-pad. Otherwise it is pretty standard obfuscation. A neat trick in this ROP payload is the casting of ARM code as Thumb to get gadgets that were not originally compiled into code (I am unsure if they also tried casting RO data as Thumb code, as that is also a way of getting extra gadgets). Another neat trick is emulating loops by using ARM conditional stores to conditionally set the stack pointer to some value (although I was told they used this trick in the original Gateway payload too). Future The first part was very simple and straightforward and was easy to reverse. I am expecting that the second part would involve a lot more code so I may need to work on a tool to extract the gadgets from code. (By the way, thanks to sbJFn5r on #3dsdev for providing me with the WebKit code to look at and sm for the hint about fseek). It is likely that I wont have the time to continue this though (still working on the Vita) but it seems like many others are farther ahead than me anyways. Payload (For those who care, the raw (annotated) payload for 4.X ) : Reversing Gateway Ultra First Stage (Part 2) When we last left off, we looked at the ROP code that loaded a larger second-part of the payload. Now we will walk through what was loaded and how userland native code execution was achieved. I am still an amateur at 3DS hacking so I am sure to get some things wrong, so please post any corrections you have in the comments and I will update the post as needed. Pseudocode Some of the hard coded addresses are inside the stack payload loaded by the first part from Launcher.dat (at 0x08F01000). Details The first part, Im not too sure about. I think its either some required housekeeping or needless calls to obfuscate the exploit (found later). I couldnt find any documentation on the 0x1F4XXXXX region except that is it in the VRAM. (EDIT: plutoo tells me its the framebuffer. Likely the screen is cleared black for debugging or something.) I am also unsure of the use of setting 0×08000838 to some location in the payload that is filled with 0x002CAFE4″. In the second part, version specific information for each released kernel version is copied to a global space for use by both the first stage and the second stage exploit code. (This includes specific kernel addresses and stuff). The meat of the exploit is an unchecked GPU DMA write that allows the attacker to overwrite read-only executable pages in memory. This is the same exploit used by smealum in his ninjhax and he gives a much better explanation of gspwn in his blog. In short, certain areas of the physical memory are mapped at some virtual address as read-only executable (EDIT: yellows8 tells me specifically, this is in a CRO, which is something like shared libraries for 3DS) but when the physical address of the same location is written to by the GPU, it does not go through the CPUs MMU (since it is a different device) and can write to it. The need for thread sleep (and maybe the weird useless memcpys) is because the CPUs various levels of cache needs some time to see the changes that it did not expect from the GPU. The second stage of the payload is the ARM code copied from Launcher.dat (3.0.0) offset 0x1B90 for a length of 0x21F0 (remember to decrypt it using the add-pad stream cipher described in the first post). Raw ROP Payload Annotated It is a huge mess, but for those who are curious, here it is. The bulk of the code are useless obfuscation (for example, it would pop 9 registers full of junk data and then fill the same 9 registers with more junk data afterwards). However, the obfuscation is easy to get past if you just ignore everything except gadgets that do 1) memory loads, 2) memory stores, 3) set flags, or 4) function call. Every other gadget is useless. They also do this weird thing where they memcpy one part of the stack to another part (which goes past the current SP). However, comparing the two blocks of data (before and after the copy) shows nothing different aside from some garbage values. Reversing Gateway Ultra Stage 2: Owning ARM11 Kernel Its been a couple of days since my initial analysis of Gateway Ultra, released last week to enable piracy on 3DS. I spent most of this time catching up on the internals of the 3DS. I cant thank the maintainers of 3dbrew enough (especially yellows8, the master of 3DS reversing) for the amount of detailed and technical knowledge found on the wiki. The first stage was a warmup and did not require any specific 3DS knowledge to reverse. The problem with the second stage is that while it is easy to see the exploit triggered and code to run, the actual exploit itself was not as clear. I looked at all the function calls made and made a couple of hypothesis of where the vulnerability resided, and reversed each function to the end to test my hypothesis. Although I many dead ends and false leads, the process of reversing all these functions solidified my understanding of the system. Code As always, I like to post the reversed code first so those with more knowledge than me dont have to read my verbose descriptions. I will explain the interesting parts afterwards. I am including the full Gateway reverse of the shellcode including parts that are irrelevant either because it is used as obfuscation, to provide stability, or as setup for later parts. Vulnerability The main vulnerability is actually still gspwn. Whereas in the first stage, it was used to overwrite (usually read-only) code from a CRO dynamic library to get userland code execution, it is now used to overwrite a heap free pointer so when the next memory page is freed, it would overwrite kernel memory. 3DS Memory Layout To understand how the free pointer write corruption works, lets first go over how the 3DS memory is laid out (in simple terms). You can get the full picture here, but I want to go over some key points. First, the main memory (used by applications and services) called the FCRAM is located at physical address 0×20000000 to 0×28000000. It is mapped in virtual memory in many places. First, the main application which is at around FCRAM 0x23xxxxxx (or higher if it is a system process or applet like the web browser) is mapped to 0×00100000 as read-only. Next we have some pages in the FCRAM 0x24xxxxxx region that can be mapped by the application on demand to virtual address 0x18xxxxxx through the syscall ControlMemory. Finally, the entire FCRAM is mapped in kernel 0xF0000000 0xF8000000 (this is for 4.1, different in other versions). Another note about memory is that the ARM11 kernel is not located in the FCRAM, but in something called the AXI WRAM. The name is not important, but what is important is that its physical address 0x1FF80000 is mapped twice in kernel memory space. 0xFFF60000 is marked read-only executable and 0xEFF80000 is marked read-write non-executable. However, writing to 0xEFF80000 will allow you to execute the code at 0xFFF60000, which defeats the whole purpose of marking the pages non-executable. Since these mappings only apply in kernel mode, you would still need to perform a write to that address with kernel permissions. ControlMemory Unchecked Write The usual process for handling user controlled pointers in a syscall is to use the special ARM instructions LDRT and STRT, which performs the pointer dereference with user privileges in kernel mode. However, what if we overwrite a pointer that the developers did not think is user controlled? The goal is achieved by the ControlMemory syscall along with gspwn. The ControlMemory syscall is used to allocate and free pages of memory from the heap region of the FCRAM. When it is called to free, like most heap allocators, certain pointers are stored in the newly freed memory block (to point to the next and previous free blocks). Like most heap allocators, it also performs coalescing, which means two free blocks will be combined to form a larger free block (and the pointers to and from it is updated accordantly). The plan here is to free a block of memory, which places certain pointers in the freed block. This is usually safe since once the user frees the block, it is unmapped from the user virtual memory space and they cannot access the memory any more. However, we can with gspwn, so we overwrite the free pointer with gspwn to overwrite the code in the 0xEFF80000 region. And that is possible because the pointer dereference is done with kernel permissions because the pointers stored here is not normally user accessible. The data stored in the freed region is as follows: struct{int some_count;struct free_data *next_free_block;struct free_data *prev_free_block;int unk_C;int unk_10;} free_data; When the first ControlMemory call happens in the exploit, it frees FCRAM 0×24451000 and writes the free_data structure to it. We then use gspwn to overwrite next_free_block to point to the kernel code we want to overwrite. Next we call ControlMemory to free the page immediately before (FCRAM 0×24450000). This will coalesce the block with ((struct free_data *)0x24450000)->next_free_block = ((struct free_data *)0x24451000)->next_free_block; ((struct free_data *)0x24451000)->next_free_block->prev_free_block = (struct free_data *)0x24450000; As you can see, we control next_free_block of 0×24451000 and therefore control the write. But were not done yet. The above pseudocode was an artist rendition of what happens. Obviously, physical addresses are not used here. The user region virtual address (0x18xxxxxx) is not used either. The pointers here are the kernel virtual address 0xF4450000 and 0xF4451000. Since we can only write the value 0xF4450000 (or on 9.2, it is 0xE4450000), this poses a problem. Ideally, we want to write some ARM instruction that allows us to jump to code we control (BX R0 for example), however, 0xF4450000 assembles to vst4.8{d16-d19}, [r5], r0″ (dont worry, I dont know what that is either) and 0xE4450000 assembles to strb r0, [r5], #-0″. Both of which cant be used (obviously) to control code execution. Now of course, we can try another address and see if we get lucky and the address happens to compile to a branch instruction, but we are not lucky. None of the user mappable/unmappable regions would give us a branch. Unaligned Code Corruption Here is the clever idea. What if we stop thinking of the problem as: how do I write an instruction that gives us execution control? but instead as: how do I corrupt the code to control it? I dont usually like to post assembly listings, but it is impossible to dodge ARM assembly if you made it this far. A note to systems programmers: There is a feature of ARMv6 that the 3DS enabled called unaligned read/write. This means a pointer does NOT have to be word aligned. In other words, you are allowed to write 4 bytes arbitrary to any address including something like 0×1003″. Now if youre not a systems designer and dont know about the problem of unaligned reads/writes (C nicely hides this from you), dont worry, it just means everything works as you expect it to. Lets take a look at an arbitrary syscall, CreateThread. The actual syscall doesnt matter, we only care about the assembly code that it runs: 0: e52de004 push {lr} ; (str lr, [sp, #-4]!) 4: e24dd00c sub sp, sp, #12 8: e58d4004 str r4, [sp, #4] c: e58d0000 str r0, [sp] 10: e28d0008 add r0, sp, #8 14: eb001051 bl 0x4160 18: e59d1008 ldr r1, [sp, #8] 1c: e28dd00c add sp, sp, #12 20: e49df004 pop {pc} ; (ldr pc, [sp], #4) How do we patch this to control code flow? What if we get ride of the add on line 0x1c? Then we have on line 0xc, *SP = R0 and on line 0×20, PC = *SP, and since we trivially control R0 in a syscall, we can pass in a function pointer and run it. Now if we replace the code at 0×18 with either 0xF4450000 or 0xE4450000, another problem arises. Both of those instructions (and there may be others from other firmware versions) try to dereference R5, which we dont control. However, what if we write 0xF4450000/0xE4450000 starting at 0×17? It would now corrupt two instructions instead of just one, but both are safe instructions. ... 14: eb001051 bl 0x4160 18: 009d1008 addseq r1, sp, r8 1c: e2e44500 rsc r4, r4, #0, 10 ... The actual code that is there isnt particularly useful/important, which is exactly what we want. We successfully patched the kernel to jump to our code with a single syscall. Now making SVC 8 with R0 pointing to some function would run it in ARM11 kernel mode.Closing Although some may call this exploit stupid or simple, I thought the way it was exploited was very novel. It involved overwriting pointers that are meant to be inaccessible to users, then a type confusion of pointer to ARM code, and finally abusing unaligned writes to corrupt instructions in a safe way. Next time, I hope to conclude this series by reversing the ARM9 kernel exploit next (for those unfamiliar, the 3DS has two kernels, one for applications and one for security, ARM9 is the interesting one). I want to thank, again, sbJFn5r for providing me with various dumps. http://yifan.lu/2015/01/15/reversing-gateway-ultra-stage-2-owning-arm11-kernel/
  15. La team gateway n'aura pas mis longtemps pour proposer une nouvelle mise à jour de son linker, probablement devant l'impatience des utilisateurs. Cette mise à jour n'apporte rien au niveau du kernel, si ce n'est la correction d'un bug sur le test SPI dans le menu Diagnostic. Par contre, là où ça devient interessant, c'est que les packages nécessaires au downgrade de firmware ont été uploadés par la team. Celle-ci recommande de bien vérifier le SHA1 du fichier avant le downgrade. En effet, chaque région dispose de son propre fichier, et toute installation de la mauvaise région brickera la console ! Le downgrade étant un processus écrivant dans la NAND de la console, il n'est pas sans rappeler que c'est une opération extrêmement délicate qu'il ne faudra pas prendre à la légère. GW_ULTRA_3.0.1 (Public Beta).zip Downgrade File Sets REGION SPECIFIC !! (Please double check both region and MD5 before attempting to dg) CHN (MD5 = 69072ce7de2cafc85325831251661e59) CHN (MD5 = 69072ce7de2cafc85325831251661e59) Mirror 1 CHN (MD5 = 69072ce7de2cafc85325831251661e59) Mirror 2 EUR (MD5 = ba20352933fdb9533311933ce2263448) EUR (MD5 = ba20352933fdb9533311933ce2263448) Mirror 1 EUR (MD5 = ba20352933fdb9533311933ce2263448) Mirror 2 JAP (MD5 = 7dff24e6673423818c7e185521bf9cf7) JAP (MD5 = 7dff24e6673423818c7e185521bf9cf7) Mirror 1 JAP (MD5 = 7dff24e6673423818c7e185521bf9cf7) Mirror 2 TWN (MD5 = 47c5ec9d230c61ac431c6e245305b7c0) TWN (MD5 = 47c5ec9d230c61ac431c6e245305b7c0) Mirror 1 TWN (MD5 = 47c5ec9d230c61ac431c6e245305b7c0) Mirror 2 USA (MD5 = 425234a6d4faf5caf63d0ca620631d79) USA (MD5 = 425234a6d4faf5caf63d0ca620631d79) Mirror 1 USA (MD5 = 425234a6d4faf5caf63d0ca620631d79) Mirror 2 KOR (MD5 = f253b2ee03b4cfb2799e9745100fce41) KOR (MD5 = f253b2ee03b4cfb2799e9745100fce41) Mirror 1 KOR (MD5 = f253b2ee03b4cfb2799e9745100fce41) Mirror 2 Site officiel
  16. Aujourd’hui la Team Gateway revient en force et nous propose une mise à jour de son linker. Il y a dès aujourd'hui un support total du 4.5 au 9.2 ! Ils annoncent aussi que le support de la New3ds ne devrait pas tarder ;-) je m'empresse d'aller tester ça et reviendrai vers vous! une ligne dans le changelog me perturbe au plus haut point: – DOWNGRADING your 4.5+ console back to 4.5! Edit: Il suffit de mettre le launcher.dat à la racine de la SD de la console, de mettre le linker rouge et de ce rendre sur http://go.gateway-3ds.com c'est magique ! GW_ULTRA_3.0(Public Beta).zip Site officiel source: gateway-3ds.com
  17. Alors que les spéculations allaient bon train au sujet du gateway et sa future mise à jour permettant son utilisation sur les derniers firmwares en date (9.2.0-xx), voilà que la team derrière ce petit bijou enfonce le clou et rabat littéralement le caquet à tous les médisants et autres sceptiques, en postant une vidéo qui mettra tout le monde d'accord. https://www.youtube.com/watch?v=FNQ-0Jr9Qpc On peut donc y voir un gateway démarrer sur une New 3DS en firmware 9.2.0-xxJ avec quelques annonces des plus savoureuses (notamment en comparaison du sky3DS et R5), parmi lesquelles le support : - du multi-roms avec menu sans aucune limitation du nombre de jeux - du dézonage - du devmenu - des homebrews (via devmenu) - des fichiers .cia le tout avec une compatibilité annoncée de 100% des jeux actuellement sur le marché. Rien de moins ! La team Gateway démontre une fois de plus tout son talent en repoussant à chaque mise à jour les limites du hack 3DS. Deux informations restent néanmoins inconnues : - le gateway démarre-t-il nativement sur les firmwares 9.2.0-xx ou bien repose-t-il sur une faille du même type que les firmwares 4.1/4.5. Si natif, on pourrait se dire qu'ils auraient montré la séquence dès l'allumage de la console...on le saura bien assez tôt. - la date de mise à disposition de cette nouvelle mise à jour qui va être attendue de pied ferme par bon nombre d'utilisateurs. merci à sephirothff pour l'information. Site officiel : gateway-3ds.com Lien vers article original : http://mobiles.gx-mod.com/modules/news/article.php?storyid=10045
  18. SUPPORT FOR FIRMWARE 9.0 9.2 COMING Posted on November 14, 2014 We recently reached a major milestone and now we are happy to announce that we are in the process of finalizing our support for 3DS systems running System Firmware 9.0.0-20 / 9.1.0-20J / 9.2.0-20 natively! Yes, this includes 2DS and New 3DS! Yes, you heard us right! If you have a 3DS, or a 2DS or a New 3DS system that is running System Firmware 9.0.0-20, 9.1.0-20J or 9.2.0-20 then you WILL be able to use it with Gateway 3DS! We recommend the following to our interested users: - If you are on native System Firmare 4.5, then please stay at this version. - If you are on native System Firmware 5.0 or higher, then please update to 9.0.0-20, 9.1.0-20J or 9.2.0-20 and stay on this version. Do not update beyond this version. But we also need help from YOU our loyal users! We need you to get the word out to your community, friends and family that they must not update their 3DS beyond the version we recommended above! We cannot guarantee that our solution will keep working with future updates above 9.2.0-20! Source gateway.
  19. Esmax666

    Gateway Ou Mt Card

    Bonjour, j hesite beaucoup entre ces 2 carte. savez vous si l une une meilleurs? laquel conseillez vous? MT card permet un trafert de jeu plus facilement si j ai bien compris ? y a t il une grande difference sur le chargement des jeux? merci
  20. Bonjour, J'ai pris ma décision, je vais me lancer pour le gateway 3ds pour ma console en 4.5! Mais avant, je voulais vous poser quelques questions histoire de ne pas faire de boulette (entre le prix du machin et les soucis/rumeurs qui circulent...) Donc voilà: - Est-il nécessaire d'acheter sur une boutique officielle référencée sur leur site (il y en avait une e-fervent pas trop cher en france/belgique mais ils l'ont supprimé del leur liste cette semaine... pourquoi???); ou avez vous un site à me recommander pour avoir la garantie de ne pas avoir de clone? - Qu"en est-il de cette histoire de puce? A quoi servirait-elle? le linker EVO 3ds en a-t-il une? la rumeur d'un nouveau gateway est-elle fondée? - Y a-t-il une "raison" d'attendre encore? Ca fait un petit budget quand même, donc j'espère que vous comprendrez mes craintes et pourrez me renseigner au mieux! Merci par avance!
  21. Bonjour, J'ai récemment acheté une 3ds XL en version 4.4.0-10 et voulu faire une mise à jour en 4.5.0-10 avec mon jeu original qui est Animal crossing new leaf. Désormais, ma console est en 4.5.0-10. Hier, j'ai voulu installer la version 2.1 omega de Gateway. Et je suis bloqué à la phase où on doit insérer le contenu du dossier "Blue Card (R4i)" dans la micro SD, car lorsque je les insère puis mets la carte bleue dans ma console, le logo de "Deep labyrinthe" clignote et me dit des fois que la cartouche a été retirée. Mais même lorsque j'arrive à cliquer dessus, ça me sort "Une erreur est survenue" et que je dois maintenir le bouton Power afin d'éteindre la console. Pourtant la carte bleue ne me semble pas désafectueuse car l'interface de Gateway apparait lorsque j'insère la carte bleue sur ma nintendo ds. Après avoir fait des recherches sur internet, il semble que c'est parce que j'ai fait une mise à jour à partir d'un jeu original bien que la version installée soit 4.5.0-10. Ce qui est normalement compatible avec la Gateway, c'est ce qui me paraît étrange. J'ai également essayé la manipulation avec plusieurs cartes SD et micro SD différentes et aucunes ne fonctionnent. Quelqu'un pourrez t-il m'aidez s'il vous plait ? Merci pour votre aide.
  22. Salut a tous Voila j'explique ma situation en quelques mots: Je compte prochainement investir dans l'achat d'une 3ds et d'un gateway, j'ai bien compris qu'il fallait que je me débrouille pour trouver une 3ds ne dépassant pas le firmware 4.5. Ca fait maintenant quelque heures que je parcours le net à la recherche d'infos, j'ai pu en obtenir certaines, mais d'autres restent confuses, j'aimerai avoir quelque confirmations de votre part avant de me lancer dans cet achat quelque peu couteux 1/ Si j'achète ou qu'on me prête un jeu récent (ex a link between worlds, pokémon x/y) avant d'avoir reçu mon linker, pour y jouer, la console me demandera d'update le firmware vers une version > 4.5, ce seront donc foutu pour utiliser le gateway aprés ? 2/ J'ai lu que la version finale du firmware gateway été sortie trés récement (2.1), on peut désormais placer plusieurs roms sur une seule carte SD ? Avec cette version, on peut désormais lancer des backups de jeux récents, comme pokémon X, mais qu'en ai t-il des jeux encore plus récents, comme le dernier Zelda ? 3/ Si j'ai bien compris l'installation se fait en placant les fichiers du site officiel sur la cartouche bleu, puis en mettant le fichier launcher.dat sur la sd de la console, ensuite la cartouche bleue se sert plus a rien ? 4/ J'ai lu aussi qu'aprés avoir effectué l'étape d'installation, il fallait à chaque démarrage faire une manip pour basculer en mode Gateway et insérer ensuite la cartouche rouge (sur laquelle se trouve la rom du jeu souhaité) pour démarrer le jeu, est-ce toujours le cas avec la version 2.1 ? Je vous remercie par avance pour vos réponses
  23. Bonjour à tous, Avant tout, je tiens à préciser que je sais lire et que je me suis ingurgité une quantité astronomique de pages avant de vous écrire. Je viens de faire l'acquisition d'une 3DS XL firmware 4.5.0 - 10E (donc compatible) J"ai effectué formatage de la 3DS et remplie mon profil J'ai une carte micro SD formatée Fat32 J'ai une carte SD formatée Fat32 ( origine Nintendo 4go) J'ai une carte SD formatée Fat32 ( de secours au cas ou , marque Sandisk 4go) J'ai téléchargé sur le site de GATEWAY GW_BETA_RELEASE_2.0b2 Copié le contenu du repertoire BLUE CARD (R4i) dans le root de la carte MICRO SD Copié le fichiers Launcher.dat dans le root de la carte SD 3DS eteinte j'installe MICRO SD et Carte SD J'allume le 3DS Vais sur l'icone Deep Labyrinth, j'ai bien le LOADING, puis lance le GATEWAY INSTALLER Je suis l'installation de la faille, PROGRAMMING ok, VERIFYING ok, OK! Done Touche A Retourner au menu HOME donc je fais. Je vais ensuite sur Paramètres de la console Autres parametres Profil Profil Nintendo DS La apparaît sur l'écran supérieur GATEWAY pendant 2 secondes Les 2 écrans deviennent noir puis retour sur Parametres de la console Je refais une seconde fois autres, parametres, profil, profils Nintendo DS et là : Une erreur est survenue ... .. . J'ai suivi, scrupuleusement toutes les informations que j'ai pu trouver sur le site, essayé de ne pas tomber dans les mauvaises interprétations mais la je sature. Je ne pense pas avoir effectué de mauvaise manip, et avoir suivi à la lettre les différentes indications . Pour info, Mon linker GATEWAY vient des site espagnols, acheté à NOEL et j'ai mis 3 mois à trouver une 3DS XL en 4.50 10E. Je précise également que j'ai fait la meme manip avec la carte SD de secours, et j'ai malheureusement le même résultat. J'ai cherché le firmwate en 2.0b1 mais je ne l'ai pas trouvé en téléchargement sur le site de GATEWAY. Et enfin, concernant la version 2.0b2, je l'ai télécharge sur le site, ainsi que sur les sites miroir, meme résultat. Je vous remercie si vous arrivez à m'enlever cette épine du pied, parce que ca fait 3 mois de recherche et de concrétisation d'achat d'un 3DS XL en 4.5 pour un résultat peu probant pour l'instant PS : si toutefois j'ai merdé et mal lu, je vous autorise à m'insulter BARBAJUAN.
  24. Bonjour, je n arrive pas a trop ce gateway dans les boutiques espagnol. Savez vous pourquoi ? Savez ou es ce que je le commander le moins cher possible ? merci
  25. cloneboy

    Gateway

    Bonjour, J'ai plusieur petites questions: Est ce que pour linstallation de la carte bleu il faut deja avoir mis la sd dans la console avec le launcher.dat? Et il est dis de refaire toute les premieres etape quand on etteint la console... il y a sans doute une autre solution ? La derniere faut il mettre le volume a un certain niveau? j'ai entendu sa... Merci