Teoría exploit 4.0 por PsDev

por **Silver VII** 25 Ene 2012 01:46

A ver he leido esto, personalmente no entiendo la mitad de las cosas de las que habla. Pero se que aquí hay gente que maneja del tema y esto es un braindstorming, por lo menos es lo que pide el chaval. He intentado traducirlo lo mejor posible para todo el mundo, para los devs, supongo que preferireis el original en inglés

, mirad el spoiler final. Si esto sirve de algo o no, o ya se ha intentado o tratado, pues decidlo y otra cosa que tachar de la lista, joder.

Venga un saludo shurras.

Fuente:http://www.ps3hax.net/showthread.php?p=321389#post321389

De acuerdo vamos directo al grano. Esto es solo una teoría, nada más.

Aquí ha habido información disponible desde hace bastante tiempo. Y yo la he cogido, he pensado en ello, he investigado y he experimentado y ahora quiero compartirla para para romper el 4.0 o parte de él. No es una teoría aleatoria, es simplemente lógica. Quiero que otros devs la vean y a ver si podemos encontrar la forma de hacerlo funcionar, no me lo quiero guardar para mí, quiero compartirlo.

El lv2ldr es usado para verificar y desencriptar el lv2_kernel.self. En la distribución de parametros del lv2ldr, los argumentos empiezan en 0x3E800, tenemos que saber esto para poder cargar los argumentos que queramos. Los argumentos finalizan alrededor de donde empieza la lista de direcciones revocadas, esto es alrededor de 0x3F000. u8* significa que lee un byte desde la dirección. Uno de los argumentos del lv2 está en lv2_in* eso debe significar que la dirección está en la ram(donde está alojada). La otra es lv2_out* esa es donde se descifra la dirección del lv2 en la ram(donde se descifra el lv2_kernal.self). Podriamos usar también u8 porque queremos leer un byte desde esa dirreción. Bien, con un programa hecho para leer la dirección como lo lo hace el readself podriamos saber donde miente el lv2 en la ram y donde esta desencriptado. Una vez sabemos la dirección el verdadero desencriptado puedo empezar. Entonces sabiendo la dirección desencriptada podemos coger ese offset y crear un programa como el coreos_tool para extraer y conseguir la key lv2 sabiendo donde está alojado lv2_kernal.self. Romper el 4.00 con este metodo deberia funcionar porque dudo que sony cambiase todas las localizaciones donde los loaders hacen estas cosas, seguro que está encapsulado en el bootloader pero siguen pasando por la ram un momento antes de ser mandados al metldr que carga el ldrs.

Algo asi como estas lineas

Código: Seleccionar todo
void *buf; // <- that will get the address of the argument we chose to load u? buf_size;// <- pretty clear it gets the size. but would you add u64? } lv2_in; struct { u8 result[0x10];//read it by one byte from the address } lv2_out; }

Esto es solo un ejemplo rápido. No está completo.

Ahora para otros devs, he posteado este posible método aquí para que experimenteis y podamos conseguir algo con el 4.00. Podéis seguirme en Twitter https://twitter.com/#!/RealPsDev

Gracias y adiós.

OK so lets get right to it. This is a theory, nothing more.

There has been information available for quite some time. and I took it, thought about it, researched and experimented and I come out with my theory below to exploit 4.00 part of the way. This is not a random theory to, this is logical stuff. I'm providing this info for other devs to look at and lets see if this can work I don't keep stuff to my self I share.

The lv2ldr is used to verify and decrypt the lv2_kernal.self. In the lv2ldr Parameters Layout, the arguments start at 0x3E800 we need to know this so we can load with the different arguments we want to. the arguments end around where the program revoke list address starts, so around this 0x3F000. u8* means read one byte from the address. One of the lv2 arguments are lv2_in* that would mean the address in ram (Where it's located). The other is lv2_out* that's where to decrypt lv2 address in ram(Where decrypts lv2_kernal.self). that would also use u8 because you want to read it by one byte from that address. well with a program made to read the address like how readself works we can know the address where the lv2 lies in the ram and where it is decrypted. once we know the address the real decryption can start. So knowing the decrypted address we can take that offset make a progam like coreos_tool pull the and get the lv2 key all from knowing that decrypted lv2_kernal.self location. exploiting 4.00 with this method would work most likely because I doubt sony changed all the locations where the loaders do there thing, sure there encapsulated in the bootloader but they still pass over into the ram at one point before being fed over to the metldr which loads ldrs.

some where along these lines

Código: Seleccionar todo
void *buf; // <- that will get the address of the argument we chose to load u? buf_size;// <- pretty clear it gets the size. but would you add u64? } lv2_in; struct { u8 result[0x10];//read it by one byte from the address } lv2_out; }

that just a quick sample. not full.

So other devs I post this possible exploit I found here for you to experiment with and get some where with 4.00. You can follow me on twitter @ https://twitter.com/#!/RealPsDev

Thanks bye.

por **rolin** 25 Ene 2012 02:04

algunas opinion, @dospiedras?

por **jon_17_** 25 Ene 2012 02:25

Es una teoria, ahora la cosa es, porque no llevo esa teoria del core_os a la practica y no simplemente lo comparte para que venga un dev y lo haga.

Es mas facil intentar ejecutar un pkg con el metodo de cambiar la dev_flash para que este puede cargar e intalar paquetes, pero aun asi nos queda decifrar las claves nprdm, con la que el team duplex desbloquea los psn (aun no se conoce su metodo exactamente).

Es mas facil encontrar un xploit que ejecute codigo no firmado, que descifrar las keys master. Pero eso es la relativo.

por **Silver VII** 25 Ene 2012 02:34

Bueno pues parece que kakarotoks ya ha dicho que no se puede modificar nada de la ram, osea que esta teoría parece que va a durar poco ¬¬.

KaKaRoToKS Youness Alaoui
@RealPsDev @JulianXhokaxhiu @psx_scene real the ps3devwiki and the boot order and why you can't modify anything or access RAM.

por **dhorge** 25 Ene 2012 02:40

parece ke nunca va a ver nada de 4.00 es una latima ZzzZZ

por **djdanny** 25 Ene 2012 09:26

la verdad que desde 3.55 si no se a podido o por lo menos no lo han publicado es que chony a puesto barreras de las buenas,y con lo de las descargas....mal vamos..

por **Calantra** 25 Ene 2012 09:38

Bueno pues aunque mi palabra puede valer bien poco ya que para ser un "grande" hay que haber sacado antes un CFW voy a aportar mi granito de pus:
Acerca de la teoría, coincido plenamente con kakarotoks, pero voy mas allá en la explicación, ya que los famosos cargadores se leen y se ejecutan de forma aislada en los SPU y en su memoria compartida, conocida por los que algo sabemos como LocalStotre , por lo que es imposible acceder a ellos desde RAM debido a que nunca llegan a ella , el resto del proceso no voy a explicarlo por que está plenamente documentado en la WIKI, el que todavía se haga pajas mentales que lea antes, que está todo muy bien explicado y se ha comentado 100 veces.

Mi opinión personal es que las llaves que faltan serán publicadas cuando lleguen a manos de algún personajillo con ganas de fama y gloria, pero esta vez va costar más conseguirlas porque los que las tienen no las van a soltar tan facilmente.

Un saludo.

Ver la colección de Juandavidbl · por **Juandavidbl** 25 Ene 2012 10:07

Calantra escribió:Bueno pues aunque mi palabra puede valer bien poco ya que para ser un "grande" hay que haber sacado antes un CFW voy a aportar mi granito de pus:
Acerca de la teoría, coincido plenamente con kakarotoks, pero voy mas allá en la explicación, ya que los famosos cargadores se leen y se ejecutan de forma aislada en los SPU y en su memoria compartida, conocida por los que algo sabemos como LocalStotre , por lo que es imposible acceder a ellos desde RAM debido a que nunca llegan a ella , el resto del proceso no voy a explicarlo por que está plenamente documentado en la WIKI, el que todavía se haga pajas mentales que lea antes, que está todo muy bien explicado y se ha comentado 100 veces.

Mi opinión personal es que las llaves que faltan serán publicadas cuando lleguen a manos de algún personajillo con ganas de fama y gloria, pero esta vez va costar más conseguirlas porque los que las tienen no las van a soltar tan facilmente.

Un saludo.

Realmente crees que alguien las tiene???? yo diria que no

por **Tmac_1** 25 Ene 2012 12:17

Yo estoy convencido de que hay un grupo reducido de gente que tiene las keys, pero como ha dicho el compañero, hasta que no caigan en otras manos no veran la luz.

por **Noriko** 25 Ene 2012 12:52

Juandavidbl escribió:
Calantra escribió:Bueno pues aunque mi palabra puede valer bien poco ya que para ser un "grande" hay que haber sacado antes un CFW voy a aportar mi granito de pus:
Acerca de la teoría, coincido plenamente con kakarotoks, pero voy mas allá en la explicación, ya que los famosos cargadores se leen y se ejecutan de forma aislada en los SPU y en su memoria compartida, conocida por los que algo sabemos como LocalStotre , por lo que es imposible acceder a ellos desde RAM debido a que nunca llegan a ella , el resto del proceso no voy a explicarlo por que está plenamente documentado en la WIKI, el que todavía se haga pajas mentales que lea antes, que está todo muy bien explicado y se ha comentado 100 veces.

Mi opinión personal es que las llaves que faltan serán publicadas cuando lleguen a manos de algún personajillo con ganas de fama y gloria, pero esta vez va costar más conseguirlas porque los que las tienen no las van a soltar tan facilmente.

Un saludo.

Realmente crees que alguien las tiene???? yo diria que no

+1

Estoy de acuerdo con Calantra en todo menos en lo de las key, nadie las tiene, ni siquiera DUPLEX o TB.

Patrocinadores

Estadísticas

Patrocinadores

Índice de foros › PlayStation 3 › Scene

Teoría exploit 4.0 por PsDev

Teoría exploit 4.0 por PsDev

¿Quién está conectado?