Mathieulh découvre des fonctions cachées

[Valiran]

Une fois que c'est mis en place c'est conserver après un update,

Si c'est aussi "inpatchable" que FailOverFl0w, permets moi de douter

[felixpat]

Ne doute pas ce flag est utiliser par sony lui meme donc pour le moment na probablement pas ete modifier dans les firmwares qui sont sortie jusqu'a present.

[Valiran]

Tout comme le Jigstick, qui était utilisé par le SAV, mais qui est bloqué à présent, du moins dans les versions qu'on connait...

[Arwahabibi]

Il ferai mieux de se taire que de donné des infos et pas divulguer le secret a quoi bon de dire sans donné c'est juste pour faire parler de lui sans plus, en plus il hack rien du tout c'est seulement des option que Sony na pas donné au grand publique après ce que les gens en font c'est leurs problème.

[deaphroat]

slynk : Clé pour décrypter le tokken trouver. C'est une étape.

Mathieulh: Je me demande ce qui vous a pris tant de temps. Ces clés sont faciles à trouver (par contre vous en manquez une)

Bien sûr, vous avez besoin de plus que déterminer comment crypter / décrypter le tokken.

slynk : EDIT: Il n'y a pas ecdsa il n'y a donc pas de public-privé. L'autre clé est la hmac.

J'ai déjà décrypter le tokken. Et je sais que le tokken a 20 octets de HMAC-SHA1, à la fin avant le cryptage.

Mais j'ai encore besoin: «De quoi changer pour en faire un "tokken evolué" et "Le combo de boutons pour faire le test".

EDIT: c'est aes256cbc, les même que "self crypto" pour les curieux.

erk:   0x34, 0x18, 0x12, 0x37, 0x62, 0x91, 0x37, 0x1C, 0x8B, 0xC7, 0x56, 0xFF,   0xFC, 0x61, 0x15, 0x25, 0x40, 0x3F, 0x95, 0xA8, 0xEF, 0x9D, 0x0C, 0x99,   0x64, 0x82, 0xEE, 0xC2, 0x16, 0xb5, 0x62, 0xED

iv: 0xE8, 0x66, 0x3A, 0x69, 0xCD, 0x1A, 0x5C, 0x45, 0x4A, 0x76, 0x1E, 0x72, 0x8C, 0x7C, 0x25, 0x4E

hmac:   0xCC, 0x30, 0xC4, 0x22, 0x91, 0x13, 0xDB, 0x25, 0x73, 0x35, 0x53, 0xAF,   0xD0, 0x6E, 0x87, 0x62, 0xB3, 0x72, 0x9D, 0x9E, 0xFA, 0xA6, 0xD5, 0xF3,   0x5A, 0x6F, 0x58, 0xBF, 0x38, 0xFF, 0x8B, 0x5F,0x58, 0xA2, 0x5B, 0xD9,   0xC9, 0xB5, 0x0B, 0x01, 0xD1, 0xAB, 0x40, 0x28, 0x67, 0x69, 0x68, 0xEA,   0xC7, 0xF8, 0x88, 0x33, 0xB6, 0x62, 0x93, 0x5D, 0x75, 0x06, 0xA6, 0xB5,   0xE0, 0xF9, 0xD9, 0x7A

hmac pour faire les 20 octet de fin du tokken et erk/iv pour le décrypter/crypter avec aes256cbc.

2 étapes plus à faire. Besoins du combo et ce qu'il faut changer dans le tokken fictif.

Toujours dans l'esprit de partage, le tokken déchiffrer:

00 00 00 01 00 00 00 01

idps

... (Tous les 00)

20 bytes

Il fait 80 octets de long.

Mathieulh:

Oui, c'est la clé hmac.

Le cryptage est simple, très facile à comprendre, et évidemment c'est pas la partie difficile.

En ce qui concerne le tokken fictif, il n'y a rien de plus que les premiers octets de l'EID0 suivie par 00 (que j'appelle tableau de flag) et le HMAC-SHA1 du tokken réelle.

Le plus dur est de savoir quelles sont les valeurs à changer, et ce qu'il faut mettre.

J'ai du faire 2 3 erreur dans les terme technique dsl..

Modifié 28 mai 2011 par deaphroat

[the-green]

intéressant...merci les amis...au moins si on y arrive le downgrade depuis l'OFW 3.60/3.61 serait possible....c'est dèja pas mal

Modifié 28 mai 2011 par the-green

[felixpat]

je ne suis pas sur que le downgrade de 3.60/6.61 sera possible a moins de reussir a integrer le QA flag ce qui n'est deja pas evident a faire en 3.55 car il ni as que quelque personne qui connaisse les bits a integrer au flag ainsi que la commande grace au pad.

[deaphroat]

Je crois que ca servira a "ouvrir" la console genre plus besoin de signer du contenu , et que ca reste après un upgrade.

[felixpat]

oui absolument sauf modification au prochain firmware ce qui est tout a fait possible

[deaphroat]

Mais c'est tout des truc qui serve a Sony, pour eux, pour le SAV, donc je pense pas que c'est supprimer quand il bouche les faille, comme le jig, je pense que le SAV a juste du en recevoir des nouveau plutôt qu'une nouvelle méthode, a moins qu'il ai 36 méthode différentes, mais plus il y a de méthode plus on pourrait en trouver

[deaphroat]

Mathieulh :

Je vais faire ma part du partage, je me sens motivé par le fait que d'autres (en réalité slynk ) sont en train de faire le travail:

hmac_key: 0xCC, 0x30, 0xC4, 0x22, 0x91, 0x13, 0xDB, 0x25, 0x73   0x35, 0x53, 0xAF, 0xD0, 0x6E, 0x87, 0x62, 0xB3, 0x72 0x35, 0x53, 0xAF, 0xD0, 0x6E, 0x87, 0x62, 0xb3, 0x72   0x9D, 0x9E, 0xFA, 0xA6, 0xD5, 0xF3, 0x5A, 0x6F, 0x58 0x9D, 0x9E, 0xFA, 0xA6, 0xd5, 0xF3, 0x5A, 0x6F, 0x58   0xBF, 0x38, 0xFF, 0x8B, 0x5F, 0x58, 0xA2, 0x5B, 0xD9 0xBF, 0x38, 0xFF, 0x8B, 0x5F, 0x58, 0xA2, 0x5b, 0xD9   0xC9, 0xB5, 0x0B, 0x01, 0xD1, 0xAB, 0x40, 0x28, 0x67 0xC9, 0xb5, 0x0B, 0x01, 0xD1, 0xAB, 0x40, 0x28, 0x67   0x69, 0x68, 0xEA, 0xC7, 0xF8, 0x88, 0x33, 0xB6, 0x62 0x69, 0x68, 0xEA, 0xC7, 0xF8, 0x88, 0x33, 0xB6, 0x62   0x93, 0x5D, 0x75, 0x06, 0xA6, 0xB5, 0xE0, 0xF9, 0xD9, 0x7A 0x93, 0x5d, 0x75, 0x06, 0xA6, 0xb5, 0xE0, 0xF9, 0xD9, 0x7A

Ne dites pas que je ne donne jamais rien.

Quant à la taille de jeton, il est toujours 0x50 octets.

Slynk:

XD J'ai déjà posté hier mais je vous remercie de vouloir contribuer. ^ ^

Mathieulh:

Oh! Vous avez aussi trouvé la clé hmac? Je ne savais pas xD.

Quelqu'un :

On pourra le mettre dans un CF ou faudra t-il toujours linux? Parce que les noob comme moi on comprends rien a tous ca.

Mathieulh:

Vous pouvez concevoir une application signée et utiliser les syscall de l'update manager aussi longtemps que votre self a les contrôle flag 0x40.

Ok, vu qu'il a déjà obtenu la clé hmac, je vais partager un indice assez subtile, mais très utile: 0x2C

Vous verrez que sa sera très utile si vous comprenez l'exeption

Vous avez besoin des clés 3.60 + clé tokken pour le faire fonctionner sur 3,60, ces clé ont changé.

Modifié 29 mai 2011 par deaphroat

[deaphroat]

Travail de graf

GRAF

1.1 : Installe Linux

1.2 : Installe BootOs

1.3 : Lv2

1.4 : Comment dumper le faux tooken

1.5 : Décrypter le tokken et l'éditer

1.6 : Comment faire un vrai tokken

1.7 : Comment installer le tokken

1.8 : Combo

- La valeur de départ est faite à partir de votre propre EID (à partir d'un dump de NAND / NOR, d'autre soft avec playload, ou hardware)

- Update manager call spu_token_processor

- Les sortie de spu_token_processor

- IBM Cell Simulator avec SE Linux (pas l'ancien Sony SPU Simulator du pré 0.9x SDK)

- tokken 80 octet, seul les 20 premier octet sont ecrit

il ya deux algorithmes utilisés (un une alternative d'un algorithme de hachage / un et un chiffrement par blocs):

• HMAC-SHA1 HMAC-SHA1
  
• AES 256 CBC - Advanced Encryption Standard; fixe la taille des blocs a 128 bits, la taille de clé a 256 bits - avec matrices de 4x4 octets
  

[deaphroat]

Dire de Rms

Conseils pour trouver le combo:

-Le combo se trouve dans sys_init_osd.sprx

Recherches avec le programme IDA (debugger)

-Cherchez et étudiez le texte suivant peut aidez

Gauche -> 32768, 1 <<7, 31 3C 3C 37	bas-> 16384, 1 <<6, 31 3C 3C 36	Droit -> 8192, 1 <<5, 31 3C 3C 35	haut -> 4096, 1 ??<<4, 31 3C 3C 34	start-> 2048 1 <<3, 31 3C 3C 33	R3 -> 1024 1 <<2, 31 3C 3C 32	L3 -> 512 1 <<1, 31 3C 3C 31	select-> 256 1 <<0,31 3C 3C 30	carré-> 128 1 <<15, 31 31 35 3C 3C	X -> 64, 1 <<14, 31 31 34 3C 3C	rond-> 32, 1 <<13, 31 31 33 3C 3C	Triangle -> 16, 1 <<12, 31 31 32 3C 3C	R1 -> 8, 1 <<31 31 11.31 3C 3C	L1 -> 4, 1 <<10, 31 31 30 3C 3C	R2 -> 2, 1 <<9, 31 3C 3C 39	L2 -> 1, 1 <<8, 31 3C 3C 38

Il donne son fichier derypté, je donne pas le lien pour la charte mais il est dernier page sur psx-scene pour ceux que ça intéresse encore cette histoire

Bref pour m'amuser je l'ai passer a ida, j'ai juste fait une recherche de string, ça donne quelque fonction de la ps3...

mspace_malloc    tmalloc_small    tmalloc_large    add_segment    prepend_alloc    internal_memalign entering stand-alone mode.\n	 <----C'EST LE MODE NORMAL OU UN 3é MODE? unsupported product code: 0x%x\n sys_init: cannot get ProductMode(error=0x%x)\n entering factory mode. (product_mode=0x%x)\n DEX: long-push-power-on: going to system-sotware mode.\n  DEX: non-stand-alone mode: DebugAgent will be invoked.\n  DEX: entering stand-alone mode.\n   system software: PS3 console mode (game memsize=%ldMB)\n special execution mode\n internal mode (QA flag minimum or advanced)\n  usb mass file system mounted.\n the usb mass file system mount failed.\n /dev_usb000  2nd_image_writer.self   image writer (%s) cannot be launched. (0x%x)\n image writer (%s) process has been launched.\n image writer (%s) process done.\n   no image writer (%s) on usb file system.\n  copy_script.txt copy tool %s cannot be launched. (0x%x)\n copy tool process %s has been launched.\n  setmonitor.self  monitor.conf setmonitor %s cannot be launched. (0x%x)\n  vsh/module creating the system software process :   cannot invoke lv2diag program (%s) from %s. (0x%x)\n    diag program has been launched from USBMass storage.\n  uinit_app.elf creating the first user process : creating the debug agent :

Modifié 1 juin 2011 par deaphroat

[doudou425]

Salut , moi ça m'intéresse deaphroat

Même si je comprend que dalle a Ida ( j'y ai déjà mis les mains mais sans savoir quoi faire )

En tout cas merci de nous tenir au courant

J'aimerai vraiment que quelqu'un trouve une méthode pour activer ce mode ne serait-ce que par curiosité

[alex793]

Pareil pour moi, je suis toujours ce sujet que je trouve trés intéressant, donc un grand merci à toi Deapthroat pour tes retours.

[felixpat]

salut tous le monde j'ai ida 5.0 mais je n'arrive pas a y integre le proc spu il me fait une erreur qqun peut m'aider

[the-green]

merci énormément deaphroat pour tes retours..

bonne chance tous le monde

[deaphroat]

tu a télécharger

- ida 5.5

- PS3_Loaders_v1.1 for_IDA_v5.2

- ppcaltivec_plugin_v1.6_for_ida_v5.6

- Tu copie les 3 fichiers du dossier PS3Loader "ps3.ldw" et "ps364.l64" et "ps3.xml" dans program file\ ida\loaders"

- Si tu as pas encore installer les plugin PPC il est recommander de le faire , tu copie les 2 fichiers "ppcaltivec.plw" et "ppcaltivec.p64" du dossier ppcaltivec dans Program Files\IDA\plugins

edit : je sais pas si çà marche sur ida 5...

Modifié 2 juin 2011 par deaphroat

[felixpat]

salut,

desolé mais j'etais occuper a reparer ma xbox360 qui etait en rod ceci etant je n'ai tjr pas reussi a faire marcher ida grace aux fichier que tu ma dit je vais recommencer depuis le debut merci a toi.

[deaphroat]

irc pour les courageux

(Si ça gêne les modo que je mette des textes si long, dite le moi et je le ferais plus )

<gf> lv0 n'est pas stocke dans la ram pas vrai ?

comment/où il est-il décrypté alors ?

<@eussNL> bootldr> l'isolement proces> spu> lv0 < hardware key/bootldr key <vérification des hach } extrait le LV0.2 sur les nouvelles consoles ou chargent LV1 sur les vieille

Ainsi la réponse correcte serait : SPU0 LS

<Mathieulh> lv0 EST conservé dans la ram, c'est un binaire ppu

<Slynk> Dans des termes simples : la puce cpu

<Mathieulh> il est décrypté par le bootloader

<Slynk> Je ne l'ai jamais vu dans mes dump de ram. Quelle offset?

<Mathieulh> il est effacer par le temps que vous le dumpiez, ils ne sont pas que stupides

il y a actuellement 2 voix pour le dumper, 3 mais une d'entre elle, vous ne serez pas capables de la reproduire par vous-mêmes

lv0 est facile à dumper, ainsi que tout ces nouveaux loader mais vous avez besoin du matériel en tout cas.

A moins que vous ne soyez vraiment chanceux. Je l'ai ai dumpé et decrypter. J'ai même metldr dumpé de toute façon...

<@eussNL> en crypté ou décrypté??

<Mathieulh> décrypté évidemment, comment croyez-vous que RMS a posté tellement de renseignements sur lv0 et metldr sur son blog ?

Parce que je lui ai donné des dump décodés

<@rms> et j'ai aussi dumpé mon mien

<Mathieulh> vous a dumpé votre metldr ?

<@rms> ouais et j'ai ma idps root

<Mathieulh> je croyais que vous aviez juste votre root key

<Mathieulh> idps root est facile

<@rms> j'ai mon metldr aussi xD

<Mathieulh> je vous ai dit comment le dumper

<@Mat hieulh> btw, rms, vous savez mon truc du chargement du bootloader ?

<@Mat hieulh> devinent quoi ?

[<@Mat hieulh> il marche

<@Mat hieulh> muhahahahahaha xD

<@Mat hieulh> maintenant j'ai besoin de toucher au protocole bl

<@Mat hieulh> mais je suis sûr assez que ce sont seulement quelque heures de travail pour finir par décrypter lv0 et tous ces ebootroms

<@rms> si vous avez vraiment le bl envoyez les moi, je ferais une app pour décrypter l'ebootroms

<@Mat hieulh> bien je ne crois pas que j'aie besoin de le dumper en entier

<@Mat hieulh> je peux l'avoir pour décrypter pour moi

<@rms> ah, mais la partie amusante est de décrypte sans cela xD

<mysis> avec l'en-tête pwn ?

<@rms> il a utilisé le truc de Mathieulh

<@Mat hieulh> l'en-tête pwn ne marche pas sur bl a cause de vérifications supplémentaires

<@Mat hieulh> il est facile d'avoir toute les clé 3.60 de toute façon

<@Mat hieulh> même sans décrypter lv0

<@Mat hieulh> si vous avez le bon materiel

<@Mat hieulh> mais vous devez coder le dumper

<@Mat hieulh> à moins que vous n'ayez vraiment le bon matériel et dumpiez la ram directement xD

<@Mat hieulh> aussi vous pouvez dumpez avec 2 nor

<@Mat hieulh> vous recevez tout sauf lv1ldr

<@Mat hieulh> et même alors

<@Mat hieulh> vous recevez lv1

<@Mat hieulh> et vous pouvez le reconstruire

<@Mat hieulh> je ne l'ai pas décrypté

<@Mat hieulh> pas même metldr, je n'ai pas mes clé metldr ou bootloader

<@Mat hieulh> il est possible de les dumper cependant

<@Mat hieulh> décodage n'egale pas dump

<@Mat hieulh> vous pouvez reconstruire les elfs des dump

[01:12] <mysis> would share lv0 decryption keys wiff me? pretty plz :>>

[01:12] <@rms> cat /dev/random | head -c 16 | xxd -ps

[01:12] <@rms>

[01:12] <@rms> perfect for key generation

[01:12] <@Mathieulh> ROFL

[01:13] <@rms> i think sony basically did

[01:13] <@rms> cat /dev/sda | head -c 16 | xxd -ps

[01:13] <@rms> or some other constant device

[01:13] <@rms> relatively constant*

[01:13] <@Mathieulh> FEDCBA98765432100123456789ABCDEFFEDCBA98765432100123456789ABCDEF

[01:13] <@Mathieulh> lv0 erk

[01:13] <@Mathieulh> kid you not xD

[01:13] <@Mathieulh> except it's not for the retail versions xD

[01:14] <@Mathieulh> lulz

[01:14] <@Mathieulh> it's the system debugger bl erk

06[01:14] * @rms goes to check

[01:14] <@Mathieulh> don't ask me how I got that xD

[01:14] <@Mathieulh> rms, it's the real one

[01:14] <mysis> what was your idea to get bootldr tho? - metldr<-bootldr code switch or

[01:14] <@Mathieulh> I call it the fail key anyway

[01:14] <@rms> yeah

[01:14] <@rms> its the real one

[01:14] <mysis> as rms mentioned via lv1 ?

[01:15] <@Mathieulh> I have more than one idea to get the bootloader

[01:15] <mysis> ye especially the 00123456789abcdeffedcba98765432100 is serious

[01:15] <mysis>

[01:16] <@Mathieulh> it's a non random key

[01:16] <@Mathieulh> it's not used on consumer hardware

[01:16] <@Mathieulh> the iv and the privs for it are not random either

[01:17] <@rms> yeah

[01:17] <mysis> :sadpanda:

[01:17] <@Mathieulh> the "external" keys are random though

[01:18] <@rms> yeah

[01:19] <mysis> i bet if you make a video about the btldr ppl will go crazy like on qa-flag

[01:19] <mysis> :>

[01:19] <@rms> he's done making videos

[01:20] <@rms> afaik

[01:20] <@Mathieulh> they wouldn't even understand it

[01:20] <mysis> there's a chair...and that chair walks (borat)

[01:21] <mysis> well it would be absolutely fantastic to share knowledge via ps3devwiki tho

[01:21] <@Mathieulh> yah I am not making vids anymore

[01:23] <mysis> :even more sadpanda:

[01:23] <mysis> i liked your vids xD

[01:24] <mysis> stuff thats basically known now in video format

[01:27] <mysis> anyways congratz to you math

[01:27] <mysis> and congratz to sony for a

[01:27] <mysis> bad week/month/year

[01:28] <@rms> i believe it's year

[01:31] <mysis> so was a hw flasher involved by dumping btldr?

[01:31] <@Mathieulh> for now it's pretty much a requirement

[01:31] <mysis> well stupid question

[01:31] <mysis> ye

[01:32] <mysis> and what was your 'trick' ?

[01:37] <@Mathieulh> it's sikrit xD

[01:37] <@moogie> mathieulh, you and your secrecy!

[01:37] <mysis> rms said smth like lv1 unloads bootldr, correct?

[01:37] <@moogie>

[01:38] <@rms> lv0*

[01:38] <@rms> not lv1

[01:38] <@Mathieulh> yah lv1 doesn't do it xD

[01:38] <@rms> lv1 unloads lv0

[01:38] <k4m4kz1> !gid BLUS30491

[01:38] <@Mathieulh> rms, not really about the unload lv0 part

[01:39] <@Mathieulh> you should check lv1 main again

[01:39] <@rms> will do

[01:39] <mysis> kk..

[01:39] <Slynk> Secrets secrets secrets. Boring. I'm going back to playing oblivion

[01:40] <@Mathieulh> lol

[01:40] <@Mathieulh> rms if you check lv0, you'll see it's actually more subtle than that

[01:41] <@Mathieulh> it's something to do with lpar

[01:41] <@Mathieulh> but oh ! well xD

[01:41] <@Mathieulh> well actually not lpar but memory management of its own

[01:41] <Len> hi

[01:42] <@rms> ugh, my graphics card is acting up -.-

[01:42] <@Mathieulh> hi

[01:43] <@moogie> rms, still using the one you got from the bin?

02[01:45] * +evilsperm (evlsperm@ool-457fa1a1.dyn.optonline.net) Quit

[01:45] <@rms> yes

[02:43] <mysis> so math

[02:44] <mysis> mind telling about your other ideas about the bootldr?

[03:12] <kevin6548> any news

[03:13] <gf> yeah, someone found the lv0 key: 796F75747562652E636F6D2F77617463683F763D585A3554616A5A5957365920

[03:14] <@rms> yeah, i doubt that

[03:15] <@rms> 1) it's too long

[03:15] <@rms> 2) it's not random enough

[03:15] <+mysis> is it the one with the G in it?

[03:15] <MajorPSP1> sup rms

[03:15] <MajorPSP1> and mysis

[03:15] <gf> no, its the one with a youtube link in it^^

[03:15] <kevin6548> me too

[03:15] <+mysis> rms care to comment about maths try?

[03:16] <+mysis> *trick

[03:16] <@rms> i am not allowed to speak about it.

[03:16] <gf> but the length should be fine...?

[03:16] <@rms> no it isn't

[03:16] <+mysis> read up gf

[03:16] <+mysis> too long

[03:16] <@rms> there are also multiple keys

[03:16] <@rms> pub/erk/riv/priv

[03:16] <kevin6548> i was asking aboout qa any way

[03:16] <@rms> and ctype

[03:17] <gf> yeah, the length is ok for erk

[03:17] <+mysis> okay then do you care to speak about the other ideas?

[03:18] <@rms> other ideas ?

[03:18] <+mysis> or well you prolly dont know whats in maths head :|

[03:19] <MajorPSP1> is this qa flag related?

[03:19] <+mysis> its not.

[03:19] <kevin6548> any idea when thats supposed to hit selfs

[03:19] <kevin6548> selves

[03:19] <MajorPSP1> oh firmware related? sorry

[03:19] <kevin6548> shelfs

[03:19] <@rms> i want to see its metldr

[03:19] <@rms> itll probably be different

[03:20] <+mysis> rms

[03:20] <@rms> but itll have a new keyset to conquer

[03:20] <@rms> yes mysis?

[03:20] <@rms> be right back

[03:34] <MajorPSP1> hello?

[03:37] <@rms> back

[03:37] <n00b174> hello all the world

[03:50] <role2682> I have a questions. I found this on a website and set it was from anonymous user, from the psx-scene forum. I was wondering if this is correct cause I dont remember seeing this on psx-scene forum and have been following this very closely

[03:50] <role2682> How to write QA Flag:

[03:50] <role2682> Requirements:

[03:50] <role2682> grafs kernel

[03:50] <role2682> ps3dm-utils

[03:50] <role2682> linux_hv_scripts

[03:50] <role2682> To patch your DM, you have to run dmpatch.sh (skip if you?re on gitbrew?s custom firmware).

[03:50] <role2682> Read QA flag:

[03:50] <role2682> ps3dm_um /dev/ps3dmproxy read_eprom 0x48C0A

[03:50] <role2682> It should return 0xFF on retail ps3.

[03:50] <role2682> Just set it to 0×00

[03:50] <role2682> Write QA flag (on your own risk!)

[03:50] <role2682> ps3dm_um /dev/ps3dmproxy write_eprom 0x48C0A 0x00

[03:50] <role2682> OR

[03:50] <role2682> ps3dm_um /dev/ps3dmproxy write_eprom 0x48C0A 0xFF

[03:50] <role2682> does that work

[03:51] <@rms> no

[03:51] <role2682> thanks I didnt think so

[03:52] <Slynk> Yes. But it's just the flag

[03:52] <Slynk> Flag != Token

[03:52] <role2682> okay so does it just et a dummy token

[03:52] <role2682> *set

[03:53] <Slynk> Doesn't even do that. Just the flag XD

[03:53] <Slynk> You can use ps3dm_um to set your dummy token though

[03:54] <role2682> Okay I'm no programmer but have been messing around with stuff since I out linux on my ps3

[03:54] <role2682> *put not out

[04:01] <MajorPSP1> lol

[04:12] <+mysis> role2682

[04:13] <+mysis> why are messing around with this stuff if you're 1) no programmer 2) got no clue how to use linux with grafs tools and what they do

[04:16] <role2682> @mysis: why down me for trying to learn I have thought my self C++, in a few weeks and having been doing lots of reading on using IDA and SPU Assembly langauge

[04:16] <role2682> Im trying to learn

[04:16] <+mysis> ye oke it just sounded like

[04:17] <+mysis> 'hi i put linux on my ps3, how to use grafs tools so i can warez this shit"

[04:18] <role2682> @mysis: warez not my intention, I could bo that already with CFW thats already out. Just trying to learn because I find this stuff interesting

[04:20] <role2682> If you haven't noticed I've had this channel open since the day after it started almost 24/7, so when I get home from work I read about what people have posted

[04:20] <role2682> just trying to learn sorry If I came off the wrong way

[04:21] <+mysis> ye np i was just asking

[04:21] <@moogie>

[04:21] <+mysis> cause its like the 100th paste

[04:21] <+mysis> of psx-scene with the same content + question

[04:21] <role2682> not from me first time,, Ive seen that, thats why i asked

[04:22] <@moogie> hehe

[04:23] <role2682> the only thing I every really write on here is "any new information, lost connection earlier"

[04:26] <role2682> anyways I'm not important just following and trying to learn. Last post about me, sorry, If I offended you not my intention

[04:34] <@rms> <role2682> @mysis: why down me for trying to learn I have thought my self C++, in a few weeks and having been doing lots of reading on using IDA and SPU Assembly langauge

[04:34] <@rms> it takes years

[04:34] <@rms> and im still learning . you always learn

[04:35] <@rms> there's always something to do!!

[04:36] <+mysis> rms

[04:36] <+mysis> syscall(0x35f,0x600c,offset(0x48c07), value(1),0,0,0,0,0) write eprom

[04:36] <+mysis> system_call(863,0x600B,0x48c13,&buffer,0,0,0,0,0);

[04:36] <+mysis> read eprom

[04:36] <+mysis> but

[04:36] <+mysis> guess you have to open eprom as storage

[04:36] <+mysis> or smth

[04:36] <+mysis> with lpar ps2emu/etc. rights not sure yet

[04:37] <+mysis> too bad some lv2 syscalls are still undocumented

[04:37] <+mysis> :<

[04:38] <MajorPSP1> see you guys later

[04:35] <@rms> there's always something to do!!

[04:36] <+mysis> rms

[04:36] <+mysis> syscall(0x35f,0x600c,offset(0x48c07), value(1),0,0,0,0,0) write eprom

[04:36] <+mysis> system_call(863,0x600B,0x48c13,&buffer,0,0,0,0,0);

[04:36] <+mysis> read eprom

[04:36] <+mysis> but

[04:36] <+mysis> guess you have to open eprom as storage

[04:36] <+mysis> or smth

[04:36] <+mysis> with lpar ps2emu/etc. rights not sure yet

[04:37] <+mysis> too bad some lv2 syscalls are still undocumented

[04:37] <+mysis> :<

[04:38] <MajorPSP1> see you guys later

[05:30] <@Mathieulh> yah the decrypted token is in ram

[05:31] <Len> hello Mathieulh

[05:31] <@Mathieulh> hi

[05:31] <@Mathieulh> recoding metldr to c++

[05:32] <@Mathieulh> so I am a tad busy

[05:32] <Len> porting meatloader are you?

[05:33] <@moogie> Mathieulh, why are you doing that

[05:33] <@moogie> care to share the purpose?

[05:33] <@Mathieulh> looking for bugs as usual

[05:33] <@Mathieulh> exploitable ones

[05:33] <@Mathieulh> I already have it rebuilt as an elf

[05:33] <@Mathieulh> so I can run it on anergistic

[05:34] <@Mathieulh> or even the official SCE debugger xD

[05:34] <Len> why not just create one?

[05:34] <@Mathieulh> create one ?

[05:34] <Len> an exploit

[05:34] <@Mathieulh> you can't "create" exploits

[05:34] <@Mathieulh> you find bugs you can exploit

[05:34] <Len> cant inject any?

[05:34] <damox> lol

[05:34] <+MoRRoW_> LOL

[05:34] <@Mathieulh> if I would "create" exploits that'd mean I can already modify the exploitable code at some point

[05:35] <@Mathieulh> which would render my exploit rather useless

[05:35] <@moogie> soo, mathieulh, doing any bootldr stuff?

[05:36] <@Mathieulh> not yet

[05:36] <@moogie> i'm sure you have a theory cooked up

[05:37] <@Mathieulh> I have more than one

[05:37] <@moogie> really no

[05:37] <@moogie> now*

[05:38] <@moogie> like?

[05:38] <Len> he going to inject an exploit

[05:39] <@moogie> ever try loading bl into spu?

[05:40] <@Mathieulh> Len you don't "inject" exploits...

[05:40] <@Mathieulh> moogie won't work I tried

[05:40] <@Mathieulh> I thought it'd work

[05:40] <@Mathieulh> then I got another fancy error

[05:41] <@Mathieulh> so it really can be loaded once

[05:41] <@Mathieulh> that doesn't mean it can't be pwned still

[05:43] <@moogie> now, are you a man going after the keys? or are you in it for the full dump?

[05:43] <@Mathieulh> full dump

[05:43] <@Mathieulh> I have little to no interest in keys

[05:44] <@Mathieulh> I just want to see what it does

[05:44] <@moogie> ahh

[05:45] <@moogie> want to share any of your theories?

[05:47] <@Mathieulh> nope xD

[05:47] <@Mathieulh> still a work in progress here

[05:47] <@Mathieulh> I didn't even share how to dump/pwn metldr yet

[05:47] <@Mathieulh> which was actually pretty easy xD

[05:47] <@moogie> i thought you said, that even YOU were pondering how geohot did it

[05:49] <damox> iirc he wondered if they used the same method

[05:50] <@moogie> ahh correct

[05:50] <@moogie> you were wondering what exploit he used

[05:50] <@moogie> and if it was the same as yours

[05:52] <@moogie> you said before, on our CECH to DECH discussion, that you cheated on what values to set

[05:52] <@moogie> care to elaborate

[05:55] <n00b264> hi, Mathieulh, could you show we some clew where we should look at the comobo?

[05:55] <n00b264> lv2 checks some bits and load self/sprx from different dir(app_home or noraml)

[05:55] <n00b264> osd_init seems check some bits and create different initial process or debugger agent

[05:55] <+evilsperm> yeah the combo is X X [] select start rub on my nuts then bust a nut in your face

[05:56] <+evilsperm> pew pew now you have qa flagging

[05:56] <n00b264> vsh.self read the token seed and just check if they are all zeroed

[05:56] <damox> I have a raging clue

[05:56] <@moogie> you see mathiuelh

[05:56] <+evilsperm> askign him to show you anything is like asking a fat chick from texas for her fried chicken

[05:56] <@moogie> i think you used objectivesuites to generate the eid

[05:56] <@moogie> cheater!

[05:56] <@moogie> xD

[05:57] <Len> so this nut, can you explain more evilsperm?

[05:57] <+evilsperm> yeah

[05:57] <Len> lol

[05:57] <+evilsperm> its milkey

[05:57] <+evilsperm> white

[05:57] <+MoRRoW_> sounds tasty

[05:57] <+evilsperm> also it knows combos!

[05:57] <Len> ohhh

[05:57] <Len> i got cha

[05:58] <+evilsperm> up up down down left right left right

[05:58] <@moogie> i seems mathieulh has dropped out of our convo

[05:58] <+evilsperm> he has adhd

[05:58] <+evilsperm> just sayin hehe

[05:58] <+evilsperm> or hes ocd

[05:58] <+evilsperm> maybe both

[05:59] <@moogie> $10 says he used objectivesuites to generate his eid, so he didn't have to set the values, it did it for him

[05:59] <+evilsperm> so someone go setup the dev network

[05:59] <@moogie> cheater!

[05:59] <+evilsperm> if you need the source its easy to find

[05:59] <@eussNL> or he just used a fixed value, repeated moogie

[05:59] <@moogie> that too

[06:00] <@moogie> i want to know, please respond mathieulh

[06:00] <@moogie> mysteries!

[06:00] <+evilsperm> what makes you think hell tell you the truth

[06:00] <@moogie> nothing, but, i am on to him!

[06:00] <damox> I doubt he will just pop in saying he has/used osuite to do it

[06:01] <@moogie> it would be nice

[06:01] <@moogie> or atleast say he didn't

[06:01] <@moogie> so i can rule it out

[06:02] <@Mathieulh> moogie you owe me 10 bucks

[06:02] <@Mathieulh> cause I didn't use that

[06:03] <@moogie> i'll fed ex it to you

[06:03] <+evilsperm> he used a wii controller and waived it infront of the ps3 no less then 4 times

[06:03] <+MoRRoW_> nah tried that already

[06:04] <+evilsperm> hold on

[06:04] <+evilsperm> did you use the pink wiimote!?

[06:04] <+MoRRoW_> no the regular one

[06:04] <+evilsperm> well theres the problem

[06:05] <@eussNL> everybody knows you get Wulfgar syndrome from using pink wiimotes evilsperm

[06:05] <+MoRRoW_> well i c ... thanks for the hint

[06:05] <+evilsperm> lol

[06:05] <+evilsperm> oh man

[06:05] <+MoRRoW_> Wulfgar the Osama of IRC

[06:05] <n00b264> if token seed are checked not in lv2_kernel, patched the lv2 syscall to return a valid decrypted token shold also pass the token check

[06:05] <+evilsperm> you really want to poke the Wulfgar

[06:05] <@moogie> lol

[06:06] <@moogie> the wulfgar? the fat, ugly, no life guy, who take pictures of his manhood? I DO NOT WANT TO TOUCH HIM

[06:07] <@eussNL> manhood != mousetails or anything my pet rat laughs about

[06:20] <@Mathieulh> <@moogie> i thought you said, that even YOU were pondering how geohot did it <== yeah, as in I don't know for sure what exploit he's used, mostly because he never told me

[06:20] <@Mathieulh> I found ways to pwn metldr

[06:20] <@Mathieulh> I just don't know if he used any of them

[06:21] <@Mathieulh> <n00b264> hi, Mathieulh, could you show we some clew where we should look at the comobo? <= I have enough clues

[06:21] <@Mathieulh> <@moogie> i think you used objectivesuites to generate the eid <== nope, not only you don't need to generate an eid for qa flag

[06:22] <@Mathieulh> but I can generate the whole idps on my own

[06:22] <@Mathieulh> not to mention os doesn't generate crap

[06:22] <@defyboy> you know what all the values in idps are?

[06:22] <@moogie> i was talking about CECH to DECH process

[06:22] <@moogie> when i mentioned the osuites

[06:22] <@moogie> not qa flag

[06:23] <@Mathieulh> I can do that without OS

[06:23] <@Mathieulh> I can even set myself to system debugger

[06:23] <@Mathieulh> but it bricks retail hardware

[06:23] <@Mathieulh> figures

[06:23] <@Mathieulh> moogie, I have the keys and algos

[06:23] <@Mathieulh> for all eid/idps

[06:23] <@Mathieulh> so I can do whatever I want with it

[06:24] <@Mathieulh> and change whatever values

[06:24] <@Mathieulh> I did cheat in some way to get the proper values and know what to change though

[06:24] <@Mathieulh> cause that's a pain

[06:24] <@Mathieulh> but the rest was easy

[06:24] <@Mathieulh> and once you know that

[06:24] <@Mathieulh> you can do anything anyway

[06:27] <@Mathieulh> and btw yah pwning metldr is fucking easy

[06:28] <@Mathieulh> it's even easier as you already have the loader keys

[06:30] <@Mathieulh> but if you want to work on that

[06:30] <@Mathieulh> metldr is very similar to isoldr

[06:30] <@Mathieulh> so you should start looking there

Modifié 8 juin 2011 par deaphroat

[Seb_Zero]

il aurait été pas mal en plus de mettre un petit résumé en fr de ce dialogue ...

[deaphroat]

C'est pas en plus c'est a la place

Je ferais en sorte de le traduire au fur et a mesure...

[the-green]

merci bcp ...

mais dites-moi ce RMS !!! est-il un développeur connu de la scène PS3 ??

[deaphroat]

ben normalement c'est genre lui :

Ça doit être le vrai, c'est un hackeur connu de la scène

Son SITE est héberger avec Graf

Il a publier récament pouvoir se connecter aux Lv2′s sys_agent/debug , depuis linux installé sur sa PS3. Il a utilisé un TTY Open Source ( terminal en mode caractère sous Unix.) pour PS3, qu'il a nommé "Debug Manager".

Il a laissé quelques phrases

Je viens de lancer certains jeux grâce à mon TTY (Flower and Super Stardust HD)

Donc on pourrait voir débarqué un/des nouveaux homebrew linux avec des nouvelle fonctionnalité, comme lancer ses jeux sans passez par le Game OS.

[snowtiger06]

OMG si ça s'avère vrai ça serai du lourd