![[fumando]](/images/smilies/nuevos/fumando.gif "fumando")
...que bastante tenemos con ir a votar hoy ![[+risas]](/images/smilies/nuevos/risa_ani3.gif "más risas")
Xulofuenla escribió:yuyubo escribió:Por lo que comentan los entendidos, con esto lo único que sacarías es la clave que Geo sacó hace un año. Ahora cada uno que se haga las pajas que quiera pensando en ello.
Llevas razon pero como he dicho mas atras geohot no nos dio esa clave, si no una creada por el con el mismo algoritmo.
![[carcajad]](/images/smilies/nuevos/risa_ani2.gif "carcajada")
) Shinozaki escribió:Voy a intentar explicar de forma gráfica y simple que supone tener dumpeado el Metldr. Como podéis ver en la siguiente imagen, todos los niveles de seguridad de PS3 dependen, directa o indirectamente del Metldr.
Hasta donde sabemos, el Metldr no es actualizable, por lo que Sony no lo puede cambiar ni modificar. Ahora bien, ¿con esto podemos hacer algo? En teoría y según dicen, con el Metldr se pueden sacar las keys de la consola, y con ellas sí que se pueden hacer cosas importantes, como las que todos tenéis en mente.
Eso sí, habrá que tener paciencia. Personalmente os recomiendo que no depositéis todas vuestras esperanzas en un scener con una ortografía tan mala:Darkvolt escribió:segun valla pudiendo voy a ir publicando alguna que otra cosa mas.
De momento parece que el dumpeo del Metldr es real, aunque ya veremos con el tiempo si es tan bueno como algunos dicen.
AdrianC escribió:and i now know exactly how the hw crypto works
i have confirmed the existence of efuses and the OTP (bootrom) is real aka the prebootldr
thats where you'll find the root key bootrom is not encrypted, you just cant see it (the CBE itself returns zeroes when you try to read it) and the efuses hold the root key, which is 48bits
@ Cell BE die, located in persistent storage
ibm docs state "A unique 48-bit customer ID can be defined by the customer." (in efuses)
Dospiedra escribió:nuevo sistema de boot
bootldr->lv0-< se manda a un spu aislado y dentro se descifra y se envia a ram los archivos lv1ldr lv1 lv2ldr DESCIFRADOS y se cargan unos a otros lv1ldr->lv1->lv2ldr->lv2
lv2->lv2_kernel->vsh
NO SE USA METLDR de ahí a que no se saquen las claves publicas ( las que descifran ) de 3.60
![[360º]](/images/smilies/nuevos/vueltas.gif "como la niña del exorcista")
) para descifrar el lv0.self de cualquier PUP sin mucho agobio. ing_pereira escribió:Esto no significa nada para nosotros mas o menos solo para el dueño del dump ya que el dump tiene su per console key 1 y per console key 2 (eid root key) a saber lo necesario para descifrar tu EID y obtener tu IDPS totalmente descifrado y ponerte a jugar a cifrarlo y modificarlo para tener una debug. La root key pck que importa y mucho desde el nuevo modelo de fw de sony desde 3.6+ (Ya que encapsularon el lv0.self dentro del bootldr) se encuentra en cell especificamente en un lugar no visible llamado bootrom en los efuses (La ps3 tiene efuses) algunos lo llaman prebootldr y no esta ENCRIPTADO.AdrianC escribió:and i now know exactly how the hw crypto works
i have confirmed the existence of efuses and the OTP (bootrom) is real aka the prebootldr
thats where you'll find the root key bootrom is not encrypted, you just cant see it (the CBE itself returns zeroes when you try to read it) and the efuses hold the root key, which is 48bits
@ Cell BE die, located in persistent storage
ibm docs state "A unique 48-bit customer ID can be defined by the customer." (in efuses)Dospiedra escribió:nuevo sistema de boot
bootldr->lv0-< se manda a un spu aislado y dentro se descifra y se envia a ram los archivos lv1ldr lv1 lv2ldr DESCIFRADOS y se cargan unos a otros lv1ldr->lv1->lv2ldr->lv2
lv2->lv2_kernel->vsh
NO SE USA METLDR de ahí a que no se saquen las claves publicas ( las que descifran ) de 3.60
Metldr tal como ya han dicho no es muy importante ahora pero si queremos dumpear el bootldr (que contiene el lv0 con las KEYS) es necesario un exploit y hw para sacar el dump.
Con el exploit de math podemos firmar nuestros loaders
http://pastebin.com/xkXxk8fM
Posible exploit seguido por Mathieul
En una consola de fw 3.55 el preparo un lv0.self con su exploit del metadata (Math exploit) entonces pone a reiniciar dicha consola y la consola se colgara debido a que el lv0.self no funciona correctamente pero antes de que se cuelge, después de que lo descifra, se utiliza un hardware para leer el local store entonces finalmente obtiene un anelado dump del BOOTLDR y con dicho dump obtiene la lv0 key y despues puede crear un breakself (Unself modificado
El primer paso es que encontremos que tipo de hardware necesitamos y en eso es donde estamos estancados por el momento pero este dump del metldr no nos sirve de nada ya que tiene las pck de su usuario ideales para el control de su eid mas para nosotros esto no significa nada aunque arriba teneis el posible exploit ideal para obtener la lv0 key aunque no parece muy lejano el momento de que alguien de con ella es decir muchos ya la han obtenido.
![[beer]](/images/smilies/nuevos2/brindando.gif "brindis")
Xulofuenla escribió:Pues lo que dice pereira tiene sentido, pero el exploit que explicas (el de math) ya lo sabiamos hace tiempo....
Entonces no entiendo a que viene ese dump si nadie, excepto el puede investigar. Una prueba de que esta en ello?? Es que si no, no lo entiendo.
.X nah, not a single line of code, at least not for the implementation
but finding the exploit itself
is EASY
except no one has gone looking
I’ve seen lots of askings and whining, very little looking xD
if someone who remotely knows spu reversing starts looking
he’ll find it
at the very worse in a matter of hours
the bug is retardly stupid to begin with
LV0, EID0, anything with coreOS imo should not be done without a hardwareflasher. Atleast with that you can undo the mess.
yeah
I am a bit of a red head here xD
you keep saying that, but I suck at SPU assembly
you’d find it even if you fail at it
you just need to know where to look
just look at how selfs are processed by ldrs
and you’ll find it
hell, I’ll help you, it’s about overflowing a certain buffer
yes, that is what defyboy and I tried to document in the ps3devwiki : bootprocess and loader locations etc.
well if you know how selfs are processed by loaders, it’s easy
another hint
it happens before the ecdsa check
my earlier guess btw was that it was a header overflow, which gave access to the local storage
It’s a retarded exploit
if you want to know what it is, I’ll tell you
the function that copies the SCE header from the shared LS to the isolated Local Store
doesn’t check the header’s size
\o/
it’s just THAT retarded
implementing it isn’t easy though
cause loaders have failsafes and shit
header size fail
lol
?
but now that you know, you can try it on your own
X1 yes
you craft a self with a HUGE header
so it overwrites ldr code as it gets copied to the isolated LS
and you wait the loader to jump to it
lolol must try heh
X1 it’s a total bitch to implement
but feel free xD
if someone pwns the bl with this and gets the keys, he’ll have my kudos
cause finding the exploit is the easy part
Sony’ll fix it now, but it’s not like I care much
their “unhackable” ps3s are probably already on the way
Some of the tidbits explaining how big the exploit is in the eyes of SONY’s M.I.B.
why would they care about bootldr keys?
ps3devnews etc. host metldr keys, appldr keys etc.
X1 cause you can get lv0 decrypted
once you get lv0 decrypted
you get appldr
once you get appldr
you get 3.60 application keys
once you get that
you warez
also, with those keys you can sign your own lv0, no ps3 fw update can beat you then
yah
you can have your 3.60+ custom firmware then
and warez even more
and mess with the psn again
and so on
@xShadow125 You can update from your pwn pup only from 3.55 or lower, unless you have an exploit.
@xShadow125 Of course that should be fixed in upcoming lv0 revisions anyway (By moving the ldrs to the top of lv0)
@xShadow125 You run the 3.60 lv0, then you switch the nor, and pull the cell reset line, and you dump the extra KBs where the loaders are.
@xShadow125 Basically you have a nor with 3.55 (or lower) lv0 and your own small lv1 code that does the dump, and 3.60 lv0 on the other.
@xShadow125 You wont get all of lv0 but the part with the loaders shouldn’t be overwritten.
@xShadow125 You can actually get all the 3.60 keys/loaders without knowing lv0 keys by dumping lv0 from ram with dual nor and signed lv1.
To those planning on building a 3.56+ pup for whatever reason, the files attributes changed, the group and user ids for the files as well.
The new 3.56+ values for tarballs are the following: owner_id, “0000764″ group_id, “0000764″ owner, “tetsu” group, “tetsu” ustar, “ustar “
You can use fix_tar to use those new values. Use with caution.
By comparison, those are the pre-3.56 values. owner_id, “0001752″ group_id, “0001274″ owner, “pup_tool” group, “psnes” ustar, “ustar “
@Ps3WeOwnYoU You need to either decrypt or dump lv0, then you can get the encrypted loaders and decrypt them with the metldr key. Good luck.
Math escribió:there are two exploits you can use on the bl, one grants you code execution, the other forces the bl to ouput lv0 metadata
Math escribió:<Mathieulh> the loader exploit is actually easier to use xD
![[snif]](/images/smilies/nuevos/triste_ani1.gif "llorando")
DarkVolt escribió:mira que decir que esto no vale para nada... jejej explico :
el metldr lo tenemos descifrado ahí , si mirais un poco vereis que es un elf normal y corriente sin la cabezera
contiene las root keys que publicó geohot y aparte contiene una pareja 0x30 añadida que se usa desde 3.50+ en adelante , y QUE SE SIGUE USANDO
que teniendo el metldr en elf podemos ponerle cabezera y cargarlo en anergistic y usarlo de unselfer para los loaders!
que el metldr se sigue usando en 3.74 ( si ya existe en debug ) y en 3.73 retail también
la diferencia de carga es que antes metldr cogía los files del coreos y ahora se los entrega lv0 via ram y nos cierran el acceso al file PERO LO PODRIAMOS DESCIFRAR con las root keys del metldr añadidas si tuvieramos el file....
el lv0 se puede descifrar si se arreglan los registers del exploit de math para cargar bootldr y descifrar el metadata del header del lv0 y con eso descifrar el resto de sus secciones con sus loaders..
y esto no vale para nada? jeje
edito para añadir , que si comparais un ISOLDR de 3.55 con el metldr os dareis cuenta que son casi iguales , es decir el isoldr contiene los updates para metldr ( virtuales por supuesto )
y que en 3.60+ tambien viene dentro de lv0 consiguiendo así actualizar cada vez que bootea el metldr inicial con las nuevas parejas de claves que los nuevos metldr ya tienen..
chrispro escribió:DarkVolt escribió:mira que decir que esto no vale para nada... jejej explico :
el metldr lo tenemos descifrado ahí , si mirais un poco vereis que es un elf normal y corriente sin la cabezera
contiene las root keys que publicó geohot y aparte contiene una pareja 0x30 añadida que se usa desde 3.50+ en adelante , y QUE SE SIGUE USANDO
que teniendo el metldr en elf podemos ponerle cabezera y cargarlo en anergistic y usarlo de unselfer para los loaders!
que el metldr se sigue usando en 3.74 ( si ya existe en debug ) y en 3.73 retail también
la diferencia de carga es que antes metldr cogía los files del coreos y ahora se los entrega lv0 via ram y nos cierran el acceso al file PERO LO PODRIAMOS DESCIFRAR con las root keys del metldr añadidas si tuvieramos el file....
el lv0 se puede descifrar si se arreglan los registers del exploit de math para cargar bootldr y descifrar el metadata del header del lv0 y con eso descifrar el resto de sus secciones con sus loaders..
y esto no vale para nada? jeje
edito para añadir , que si comparais un ISOLDR de 3.55 con el metldr os dareis cuenta que son casi iguales , es decir el isoldr contiene los updates para metldr ( virtuales por supuesto )
y que en 3.60+ tambien viene dentro de lv0 consiguiendo así actualizar cada vez que bootea el metldr inicial con las nuevas parejas de claves que los nuevos metldr ya tienen..
Con todos mis respetos, no vale para nada porque nos cierran el acceso total y no vamos a poder tener ese archivo...
chrispro escribió:DarkVolt escribió:mira que decir que esto no vale para nada... jejej explico :
el metldr lo tenemos descifrado ahí , si mirais un poco vereis que es un elf normal y corriente sin la cabezera
contiene las root keys que publicó geohot y aparte contiene una pareja 0x30 añadida que se usa desde 3.50+ en adelante , y QUE SE SIGUE USANDO
que teniendo el metldr en elf podemos ponerle cabezera y cargarlo en anergistic y usarlo de unselfer para los loaders!
que el metldr se sigue usando en 3.74 ( si ya existe en debug ) y en 3.73 retail también
la diferencia de carga es que antes metldr cogía los files del coreos y ahora se los entrega lv0 via ram y nos cierran el acceso al file PERO LO PODRIAMOS DESCIFRAR con las root keys del metldr añadidas si tuvieramos el file....
el lv0 se puede descifrar si se arreglan los registers del exploit de math para cargar bootldr y descifrar el metadata del header del lv0 y con eso descifrar el resto de sus secciones con sus loaders..
y esto no vale para nada? jeje
edito para añadir , que si comparais un ISOLDR de 3.55 con el metldr os dareis cuenta que son casi iguales , es decir el isoldr contiene los updates para metldr ( virtuales por supuesto )
y que en 3.60+ tambien viene dentro de lv0 consiguiendo así actualizar cada vez que bootea el metldr inicial con las nuevas parejas de claves que los nuevos metldr ya tienen..
Con todos mis respetos, no vale para nada porque nos cierran el acceso total y no vamos a poder tener ese archivo...
originalone escribió:La forma de responder de dark me a sonado a alguien, igual es que estoy recién levantado de la siesta
, pero puede ser que sea la siesta... DarkVolt escribió:chrispro escribió:DarkVolt escribió:mira que decir que esto no vale para nada... jejej explico :
el metldr lo tenemos descifrado ahí , si mirais un poco vereis que es un elf normal y corriente sin la cabezera
contiene las root keys que publicó geohot y aparte contiene una pareja 0x30 añadida que se usa desde 3.50+ en adelante , y QUE SE SIGUE USANDO
que teniendo el metldr en elf podemos ponerle cabezera y cargarlo en anergistic y usarlo de unselfer para los loaders!
que el metldr se sigue usando en 3.74 ( si ya existe en debug ) y en 3.73 retail también
la diferencia de carga es que antes metldr cogía los files del coreos y ahora se los entrega lv0 via ram y nos cierran el acceso al file PERO LO PODRIAMOS DESCIFRAR con las root keys del metldr añadidas si tuvieramos el file....
el lv0 se puede descifrar si se arreglan los registers del exploit de math para cargar bootldr y descifrar el metadata del header del lv0 y con eso descifrar el resto de sus secciones con sus loaders..
y esto no vale para nada? jeje
edito para añadir , que si comparais un ISOLDR de 3.55 con el metldr os dareis cuenta que son casi iguales , es decir el isoldr contiene los updates para metldr ( virtuales por supuesto )
y que en 3.60+ tambien viene dentro de lv0 consiguiendo así actualizar cada vez que bootea el metldr inicial con las nuevas parejas de claves que los nuevos metldr ya tienen..
Con todos mis respetos, no vale para nada porque nos cierran el acceso total y no vamos a poder tener ese archivo...
leistes las siguientes frases?
kinnopsSs escribió:originalone escribió:La forma de responder de dark me a sonado a alguien, igual es que estoy recién levantado de la siesta
+1 ... me pasa igual xD, y mira que apenas seguia la secene, pero me suena mucho
originalone escribió:La forma de responder de dark me a sonado a alguien, igual es que estoy recién levantado de la siesta
digo a darckvolt por su trabajo y compartirlo Robe_Gris escribió:kinnopsSs escribió:originalone escribió:La forma de responder de dark me a sonado a alguien, igual es que estoy recién levantado de la siesta
+1 ... me pasa igual xD, y mira que apenas seguia la secene, pero me suena mucho
Yo creo que veis demasiadas películas de conspiraciones yankis.
Pisad con los pies en la tierra que os vais a marte en clase turista.
en fin, sin comentarios, sigamos con el tema importante pq discutir con alguien sobre opiniones puede dar para mucho y no toca...originalone escribió:Yo pensaba más en hermes, pues he seguido su trabajo tanto en wii como en ps3 y las explicaciones......
Pero bueno, sea quien sea, demise las gracias por su trabajo
Un saludo
colome2 escribió:originalone escribió:La forma de responder de dark me a sonado a alguien, igual es que estoy recién levantado de la siesta
Es evidente que en esta comunidad contemos con un buen umero de Scenes y muy bueno de los mejorcito del mudo en lo que a usuario final se refieren sus aportes , que el chico este darckvolt y los demás usuarios con pocos mensaje pero con amplio cocimientos de temas de Scene hallan comentado y compartido esta informacion no ahi que tener 2 dedos de frente para interpretar que usan seudónimos y aquí quien no tiene mas de una cuenta en mi caso no pero si es sabido que eso se hace y se seguir asciendo para evitar problemas legales y mas como están los tema últimamente con $ony , saludos
y gracias a alex..........
![[comor?]](/images/smilies/nuevos/interro_ani1.gif "comor?")
juanchuloperron escribió:[QUOTE=doggie721;326998]
Nuevo lv0 dump y descifrado SOON…
justo lo iba a poner yo xd iotz escribió:juanchuloperron escribió:[QUOTE=doggie721;326998]
Nuevo lv0 dump y descifrado SOON…
y despues pone que ya esta listo y esperando que lo dejen que lo ponga,a ver si se pasa por aui y comenta mas
justo lo iba a poner yo xd[/quote] DarkVolt escribió:cargando metldr en anergistic...http://pastie.org/private/2kijry6y7jwoiwsepqqcbq
si lo sé usar..
![[sonrisa]](/images/smilies/nuevos/risa_ani1.gif "sonrisa")
