Etat du hack Ps3


Newserator
 Share

Messages recommandés

Bonjour

Public key: 948DA13E8CAFD5BA0E90CE434461BB327FE7E080475EAA0AD3AD4F5B6247A7FDA86DF69790196773

Curve type: 2 (vsh)

Qu’es ce qu'on peut faire avec ça ?

Juste attendre et wait and see...

PS ONE emulation

PSX emulation

We don’t know what key was used to decrypt but since the KEY is static *could* be the same.

Hi

I thought I would share my findings about the PSX Eboots. (official ones )

It’s by far not complete, there is still many unknown. (atleast to me :P )

(I haven’t found a place with a proper discussion about it yet :/ )

But I hope with the help of others we are able to reverse engineer the format much quicker

Feel free to correct me If I got something wrong

keys.bin

16 Byte file with the “keys” required to run the game?

If you try to run the game without the keys.bin present it gives you CA000005 error on 3.02 OE-B. I don’t know if this is a custom error code from Dax?!

Used for XOR encryption -> memory card?!

document.dat

According to Dax bunch of pngs which hold the manual

Encrypted

Infact if you try to enter the manual with no document.dat present, it states that there is no user manual.

You can however switch document.dat, it doesn’t seem to be tied to the eboot (I could open Cool Boarders 2 manual even though I was playing Hot Shots Golf )

16 byte header which is the same on every document.dat.

Starting with magic key 0″PGD”, 0 Byte is followed by PGD

followed by 2 4bytes which MSB is 1 and other 0 then followed by 4 0 Bytes to finish of the header.

Quote:

00 50 47 44 01 00 00 00 01 00 00 00 00 00 00 00

Eboot.pbp

Contains the compressed ISO image of the psx game.

40Byte header, just like any other pbp.

Contains offset to:

-sfo

-icon0 (icon you’ll see in the xmb)

-pic0(semi transparent png which is always in front of pic1)

-pic1(full res background)

-psp

-psar

Psar offset points to

“PSISOIMG0000″ followed by 4 Bytes of unknown purpose.

(Maybe some offset?)

16 bytes header, however only the last 4 bytes differ from eboot to eboot.

Resident Evil Directors Cut [JP]

Quote:

50 53 49 53 4F 49 4D 47 30 30 30 30 00 B3 82 16

Cool Boarders [uS]

Quote:

50 53 49 53 4F 49 4D 47 30 30 30 30 C0 DD 7D 11

Hot Shots Golf 2 [uS]

Quote:

50 53 49 53 4F 49 4D 47 30 30 30 30 40 C2 F6 08

Immediately after the PSISOIMG0000 header there are some 0 bytes, which size vary from eboot to eboot

(Note, there are some 0 bytes before the PSISOIMG0000 label too)

After the 0 bytes there’s a PGD header of unknown purpose

At the very bottom of every PSX Eboot you can find a PNG image.

(I still have to figure the offset to it out)

This is simply the image you will see when you execute your PSX Eboot.

On a non PSX Eboot you would see the gameboot.pmf.

I think it can be changed without breaking the eboot.

Then after the PNG image, theres another PGD header also of unkown purpose. After it -> EOF.

(Maybe the 2 PGD files in it are responsible for the way the manual works.

e.g When you browse through the manual and say exit it at page 15 and then you reenter the manual or reenter after you exited the game it’s still at page 15.

I tested it on document.dat, leaving it on page 15 and then on page 20, nothing changed, file is still the same.

So there must be some indicator that keeps track of which page you browsed the last, maybe these two PGD’s have something to do with it?!)

Savegames

It saves at ms0:/PSP/SAVEDATA/GAMEID

param.sfo

Ordinary param.sfo

icon0.png

Png which was extracted from the eboot

config.bin

Always 1024 bytes.

Purpose yet to be revealed

memcard1.dat/memcard2.dat

Always 131104 bytes.

Most likely imitates the playstation memory card file system

Encrypted (xor keys.bin?!)

Yeah that’s it for now, tell me what you think

Lien vers le commentaire
Partager sur d'autres sites

  • Réponses 532
  • Created
  • Dernière réponse

Top Posters In This Topic

naehrwert (don't get too excited about the title)

Exploiting (?) lv2

A long while ago KaKaRoTo pointed me to a stack overflow he found while reversing lv2_kernel. But there are two problems:

The vulnerability is in a protected syscall (the SELF calling it got to have the 0×40… control flags set). So you’d first need to find a suitable usermode exploit (don’t ask us), that gives you code execution with the right privileges.

The payload data is copied to lv2 heap first and the function will do a free call on it before the payload has any chance to get executed. This might not sound like a problem but it looks like lv2′s heap implementation will overwrite the free’ed space with 0xABADCAFE and thus destroy the payload.

Here is my sample implementation for 3.41 lv2_kernel (although the vulnerability should be present in all versions of lv2 up to the latest firmware), maybe someone of you will find a way to overcome problem (2.) and can get something nice out of it because right now it’s only good to crash lv2.

Il ya longtemps, Kakaroto ma montré un débordement de pile qu' il a trouvé en reversant le kernel lv2. Mais il ya deux problèmes:

La vulnérabilité se trouve dans un syscall protégé (the SELF calling it got to have the 0◊40… control flags set). Donc, vous devez d'abord trouver un exploit usermode (ne nous demandez pas), qui vous donne l'exécution de code avec les privilèges appropriés.

Les données du payload sont copiées en haut de la pile du lv2 et la fonction va faire un appel à une autre fonction avant que le payload soit exécuté.

Cela pourrait ne pas ressembler à un problème, mais il semble que la mise en oeuvre de cet exploit va écraser l'espace free 0xABADCAFE et détruire le payload.(trop débordé???)

Voici mon implémentation pour 3,41 (la vulnérabilité doit être présent dans toutes les versions de lv2 , même les derniers), peut être que quelqu'un d'entre vous trouvera un moyen de surmonter le problème. Et peut-être obtenir quelque chose de bien , parce que pendant ce temps, il fait seulement planter le lv2.

nwert.wordpress.com

Lien vers le commentaire
Partager sur d'autres sites

I just think there are other ways also to do it like full game debugging.

I research this option myself , and I can see also there are ways to to optain the decrypted eboot several ways.

I really played around today, and I manages to get full game debugging.

And that haven't been done as yet

It always have frustrateted me that you couldn't debugg retail eboots/games

Normally when loading just fself in debugger, is just nothing happens.

So I played around.

here is an small tut.

- First reset in debugger mode.

- Locate the eboot.bin decrypt it, and resign with Fself one.

- Then in target manager set app_home to the BLES or BLUS folder.

- Reset target

- Then load executable then locate the eboot.bin

- Load it

- Then open Tuner from the SDK.

- Then load executable there also .

- When you do this you get kicked to the ps3 debugger.

- Then in debugger you press go under options ..

- Concrats you are debugging full game .

[...]

also on the ps3 you can play the game under debugger mode.

since eboots stays in ram to the next is loaded the intire game can be debugged.

so there for only the eboot have to be decrypted and not the sprx if the game os needed off that

just since an monkey like me can figure it out so can you.

PS when the debugging starts you can sniff with "software."

even works on 4.11 games but prepare for huge files like 1 gb when sniffing, so hope for any good suggestions.

really don't care about war on sites, just help each other

funny **** is that you can debug both TB and cobra this way, all the updates an dongle updaters, just wised that dex was around before

You need to understand a few things:

1. Coredump is by design, meant not to trigger when a process flagged as "not debuggable" (that's a capability flag in the EBOOT's metadata) is running.

2. It's easy to run an actual disc eboot in debug mode, it usually doesn't require anything more than using a static path for the eboot (and to have the original disc in the drive because the self is flagged with "discbind" capabilities), the thing is if it is flagged as not debuggable, even though you can run it, you cannot attach to the process and thus dump it, and coredump will be disabled.

3. The only thing that can trigger a coredump on a not debuggable process is an exception, but to have any process flagged as not debuggable copied to ram, you need to run it (you cannot load and not start a process flagged as not debuggable, unlike ones issued from fself or regular processes) The issue is that once the said process is running, since it's obviously loaded from a signed and encrypted executable, you do not have any control of what runs there, you also cannot have your own process running on the background while this one gets started because all the sprx/processes you would have had loaded get unloaded as soon as the new executable starts (they don't have the proper cflags to stay loaded)

This means you cannot trigger the exception on your own, you have to rely on an existing bug in the actual game code (good luck with that)

Finally I don't see what wireshark has to do with this.

For your intel, all 2.20+ game selfs are flagged as "not debugable"

Oh ! and even on DECR-1000A, if you are running a process as "not debugable" the foot switch coredump will not work/trigger.

Sorry to disapoint you all.

Source : ps3crunch.net

Lien vers le commentaire
Partager sur d'autres sites

Exploit Kakaroto-naehrwert Part II

Portage de l'exploit sous 4.20

another developer 'KDSBest' has jump onto it, and written one that works on firmware v4.20.

I didn't managed to make it work on 4.21 so I just did on 4.20

Since @naehrwert posted an lv2 exploit I will do so too . The stack pointer points to lv2 and if we do a syscall, the syscall saves register to the stack HAHA. Btw. It just crashes the console for now, since I totaly overwrite dump the lv2 or some memory addresses I don't know. Feel free to try around, adjust the address of the stackpointer and so on. If you managed to get the panic payload executed. Tell me!!! ^^

http://www.ps3crunch.net/forum/threads/478...ploit-for-v4-20

Lien vers le commentaire
Partager sur d'autres sites

j'ai fait le petit résumé , pour le reste tu sais c'est des termes techniques de programmation...

Pour le résumé :

Zadow28 pensais avoir trouvé quelque chose pour le coreDump, mais selon mathieulh non ça marcherait pas comme ca...Donc la si pas plus de réponse pour l'instant on peut oublier ce truc...

Mais tu peux voir avec sa vidéo qu'il pensait sniffer le jeu pendant qui le lancait. Snif depuis ProDg.

Quand a l'exploit Kakaroto, pour l’instant les codeur sont dessus, pour nous c'est le produit finale qui nous intéresse...Il aurait l'exploit, il manque une petite partie :

//Problem: The mount syscall needs the 0x40 ctrl flag (root) to be set.

//Solution: Find a usermode exploit in a SELF that has them set.

L'exploit fait appel au syscall2 "sys_process_wait_for_child ", mais il a besoin du flag (donc la je suppose que c'est comme au moment du QA Flag)

Donc il manque l'exploit usemode qui set le flag, si il trouve ca, l'exploit marcherait en 4.20, (il a pas réussi en 4.21)

Lien vers le commentaire
Partager sur d'autres sites

Bonjour tout le monde!!

Voila je suis nouveau ici et franchement je viens de faire un tour sur le net et je ne sais vraiment pas ou je pourrais avoir des réponses à mes interrogations alors je m’excuse d'avance si je suis dans le mauvais topic...

Je viens de recevoir une PS3 que je veux hacker pour lancer des homebrew et autres MAIS je n'ai aucune idée de ce qui se passe dans le monde du hack de la PS3...

J'ai lu un peu partout qu'il fallait avoir un firmware inférieur à 3.55 et même si on a déjà fait une maj on peu downgrader sa console, j'ai alors vérifier la version minimale compatible avec ma console (qui est maintenant en 4.00) avec une ptite manip par clé usb et maheureusement pour moi on m'a affiché qu'elle etait à 3.66 :(

Du coup là, je ne sais pas si il y a une solution pour la hacker ou bien que les soluces sont en développement ou bien que c'est et que ça restera tout bonnement impossible... Ce que je lis dans votre topic ici ou ailleurs est un peu comme du chinois pour moi donc si une âme charitable pouvait me guider ça serais fort aimable blush

Merci d'avance !!

PS : Pour info, ma ps3 vient des US au cas où la zone serait une information importante...

Lien vers le commentaire
Partager sur d'autres sites

j'ai fait le petit résumé , pour le reste tu sais c'est des termes techniques de programmation...

Pour le résumé :

Zadow28 pensais avoir trouvé quelque chose pour le coreDump, mais selon mathieulh non ça marcherait pas comme ca...Donc la si pas plus de réponse pour l'instant on peut oublier ce truc...

Mais tu peux voir avec sa vidéo qu'il pensait sniffer le jeu pendant qui le lancait. Snif depuis ProDg.

Quand a l'exploit Kakaroto, pour l’instant les codeur sont dessus, pour nous c'est le produit finale qui nous intéresse...Il aurait l'exploit, il manque une petite partie :

L'exploit fait appel au syscall2 "sys_process_wait_for_child ", mais il a besoin du flag (donc la je suppose que c'est comme au moment du QA Flag)

Donc il manque l'exploit usemode qui set le flag, si il trouve ca, l'exploit marcherait en 4.20, (il a pas réussi en 4.21)

Merci pour ce résumé .

Lien vers le commentaire
Partager sur d'autres sites

@deathriders : Et ca change quoi que les trophées soient en jap, en us, en bielorusse ou en alsacien ? Les trophées, a part pour montrer qui a la plus grosse, ca n'a strictement aucune utilité ... (et encore, quand je parles de plus grosse, ca resume souvent à "plus grosse partie de sa vie en nolife mode")

Lien vers le commentaire
Partager sur d'autres sites

deathriders : la prochaine agression verbale (mytho ou autres joyeusetés) couplée à ton manque d'attention orthographique évident (malgré mes énièmes demandes) et tu te prends un ban de 48h, c'est clair?

Lien vers le commentaire
Partager sur d'autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
 Share

Annonces