|
Dedeboy
Стаж: 13 лет 3 месяца Сообщений: 1045
|
Dedeboy ·
09-Май-18 21:40
(6 лет 8 месяцев назад)
Здравствуйте
Я вот не совсем понял, а fmcb можно ставить с флешки?
И если да, то надо флешку в fat16 форматировать?
|
|
fiuke
Стаж: 13 лет 3 месяца Сообщений: 3231
|
fiuke ·
10-Май-18 08:03
(спустя 10 часов)
а для кого на предидущей странице спойлер
скрытый текст
1--записываем на диск ULE (ulauncher)
2--перекидываем папку с FMCB на флэшку--рекомендую FMCBinstaller 01952-bin,
это идеальный вариант для scph90004/90008 моделей т.к.на MC занимает около 1mb.
т.к. полноценный запуск на 9вятых моделях не возможен,но вы получите доступ к ULE через чип (держать( R1*)при запуске приставки)
для первого раза что-бы разобраться сойдёт и вариант "для чаиников".он уже содержит OPL и плеер (правда устаревшие) они заменяемы! 3--запускаем диск с ULE на приставке и суём флэшку с FMCB-идём в раздел mass:/и запускаем зелёненький FMCBinstaller.elf
4--форматируем кп --- format MC--- 5--устанавливаем---normal install (только для этой приставки)--- multi version (для всех приставок) такого же региона
-----------------------------------------------------------------------------------------------------------------------------------
запуск игр на OPL---------------------------------------
в OPL settings --включаем:
USB device start mode -AUTO
ELF LOADER menu display mode -AUTO
DEFAULT menu -USB GAMES
жмём OK
save changes
запиши диск из этой раздачи там автоустановка походу,разберёшся поставишь уже чонить годное!
|
|
Dedeboy
Стаж: 13 лет 3 месяца Сообщений: 1045
|
Dedeboy ·
10-Май-18 08:47
(спустя 43 мин.)
fiuke
А может лучше сразу свежак?
Вы просто говорили, что вроде некоторые версии нормально не апгрейдятся. https://rutr.life/forum/viewtopic.php?p=72410309#72410309
А я могу эту версию записать на диск?
|
|
fiuke
Стаж: 13 лет 3 месяца Сообщений: 3231
|
fiuke ·
10-Май-18 09:18
(спустя 30 мин., ред. 10-Май-18 09:18)
тебе нужно вначале диск с ULAUNCH,потом закидываешь FMCB на флэшку,запускаешь ULAUNCH(микро браузер PS2) через него ставишь FMCB и копируешь на MC OPL и SMS плеер последнее уже по желанию,та версия голая.,и далее через настройки FMCB выводишь opl и плеер в меню смотри стр 29 там же версия с флэшки можешь проги брать от туда.так как при установке FMCB у тебя встанет только ULAUNCH и настройки,А OPL желательно иметь на MC чтоб каждый раз не копировать на флэшку.
ВОТ DVD ЮЛЯ- https://yadi.sk/d/GG2OMJg43GUx6K
можешь чтоб не париться из шапки качнуть там всё готовое хоть и старое,НО разобраться будет легче,а потом уже станцуешь как опытный денсер
как разберёшся что к чему всё снесёшь и в ручную наворотишь
ЭТА РАЗДАЧА СТАРТОВАЯ спецом чтоб легче вникнуть было!!!
Dedeboy писал(а):
75327414что вроде некоторые версии нормально не апгрейдятся.
апгрейдить и не придётся.там будет ULAUNCH как разберёшся запустишь через него любой другой FMCB и поставишь
|
|
Dedeboy
Стаж: 13 лет 3 месяца Сообщений: 1045
|
Dedeboy ·
10-Май-18 16:31
(спустя 7 часов, ред. 10-Май-18 16:31)
fiuke
Спасибо огромное.)
В общем разобрался.
Просто поставил фмсб из этой раздачи, а после накатил более свежую версию, удалив предыдущую.
|
|
fiuke
Стаж: 13 лет 3 месяца Сообщений: 3231
|
fiuke ·
11-Май-18 08:10
(спустя 15 часов)
не всё так страшно если без лишних деталей! а то когда я сам начинал и начитался морями нахер не нужной тех информации уже думал что хер разберусь,а оказывается всё элементарно.нужен чёткий минимум,а дальше сам!
|
|
Dedeboy
Стаж: 13 лет 3 месяца Сообщений: 1045
|
Dedeboy ·
11-Май-18 12:50
(спустя 4 часа)
fiuke
Не то слово)
Единственно, что пришлось opl до 0.9.3 ставить, ибо версия 0.9.2, что на трекере, наотрез отказывалась подключаться к ПК. Возникла пара вопросов.
1) Это нормально, что при включении приставки fmbc не грузится?
Требуется ещё ребут проводить, чтобы менюшка появилась.
2) Может ли пс2 апскейлить картинку до 720р и при этом ещё делать чёрные полосы по бокам для 4:3?
Я просто слышал что-то такое вроде возможно.
|
|
fiuke
Стаж: 13 лет 3 месяца Сообщений: 3231
|
fiuke ·
11-Май-18 13:53
(спустя 1 час 3 мин.)
Dedeboy писал(а):
753340681) Это нормально, что при включении приставки fmbc не грузится?
Требуется ещё ребут проводить, чтобы менюшка появилась.
это не нормально!
Dedeboy писал(а):
753340682) Может ли пс2 апскейлить картинку до 720р и при этом ещё делать чёрные полосы по бокам для 4:3?
Я просто слышал что-то такое вроде возможно.
а это уже тут спрашивай https://rutr.life/forum/viewtopic.php?t=4940148&start=2520
|
|
белка 2590
Стаж: 10 лет 1 месяц Сообщений: 37
|
белка 2590 ·
11-Май-18 18:10
(спустя 4 часа)
а болванка какая должна быть и прога ?
|
|
fiuke
Стаж: 13 лет 3 месяца Сообщений: 3231
|
fiuke ·
11-Май-18 20:45
(спустя 2 часа 35 мин.)
в шапке указано File Size : 27 428 864
Image Mode : CD Mode 1 (Incorrect)
|
|
Dr.Offset
Стаж: 9 лет 7 месяцев Сообщений: 318
|
Dr.Offset ·
06-Июн-18 00:07
(спустя 25 дней)
Гуру мира PS2, помогите, пожалуйста.
Преобрел себе PS2 30004 не чипованную, но сразу с ней шёл Network Adapter и HDD с играми. Разумеется, сразу залил те игры, в которые хочу поиграть. Что-то запускается, а что-то нет - белый экран и всё, приходится кнопкой выключать консоль и включать заново. Можно ли как-нибудь победить белый экран и стартануть игры?
|
|
SquareFun
Стаж: 16 лет 3 месяца Сообщений: 31096
|
SquareFun ·
06-Июн-18 01:22
(спустя 1 час 14 мин.)
|
|
fiuke
Стаж: 13 лет 3 месяца Сообщений: 3231
|
fiuke ·
06-Июн-18 07:53
(спустя 6 часов)
|
|
lord anime
Стаж: 13 лет Сообщений: 1798
|
lord anime ·
14-Июл-19 19:43
(спустя 1 год 1 месяц)
Как установить Free McBoot на нечипованной консоли. Способ №1 А разбирать слимку надо перед заменой диска? А то на ютуб один такой в разбор консоль сделал///
|
|
fiuke
Стаж: 13 лет 3 месяца Сообщений: 3231
|
fiuke ·
14-Июл-19 21:34
(спустя 1 час 50 мин.)
сходи со своей картой на другую приставку и поставь MULTIINSTALL.
|
|
lord anime
Стаж: 13 лет Сообщений: 1798
|
lord anime ·
14-Июл-19 23:09
(спустя 1 час 35 мин., ред. 14-Июл-19 23:09)
fiuke писал(а):
77672047сходи со своей картой на другую приставку и поставь MULTIINSTALL.
Идти некуда,знакомых нет,есть с установленным некогда MCboot но черный экран
Так все таки надо разбирать или нет?
Диск найду где купить.
К слову а оригинальный диск PAL или NTSC?
|
|
rut328746
Стаж: 10 лет 5 месяцев Сообщений: 13884
|
rut328746 ·
14-Июл-19 23:44
(спустя 34 мин.)
lord anime
да ты диск сперва найди, а потом разберешься надо разбирать или нет - сперва без разбора попробуешь, если не сфурычит то разбирай
lord anime писал(а):
77672457К слову а оригинальный диск PAL или NTSC?
региона твоей консоли, она другой не запустит
хотя проверь в инетах, может быть в одной из версий и прикрыли этот эксплойт
вообще, разбирать (вернее, устанавливать разные защелки, чтобы консоль не палила подмену диска) 100% надо было для свэп-меджиков. и ещё от модели приставки зависело - чем больше модель, тем больше гемороя, т.к. сони придумывала новые защиты
может тебе тупо проще найти того, кто чип впаяет?
|
|
fiuke
Стаж: 13 лет 3 месяца Сообщений: 3231
|
fiuke ·
15-Июл-19 08:58
(спустя 9 часов)
lord anime
rut328746 писал(а):
77672587lord anime
да ты диск сперва найди, а потом разберешься надо разбирать или нет - сперва без разбора попробуешь, если не сфурычит то разбирай
внатуре проще чип поставить.чем диск искать
|
|
lord anime
Стаж: 13 лет Сообщений: 1798
|
lord anime ·
15-Июл-19 19:43
(спустя 10 часов)
Та ну вышо,по городу 25 зеленых и не подходи.Просто диск за 4 бакса можно найти,у меня PAL модель 75004.
|
|
fiuke
Стаж: 13 лет 3 месяца Сообщений: 3231
|
fiuke ·
15-Июл-19 20:13
(спустя 29 мин.)
lord anime
тада ищи чувака с форума шоб земляк типа был и попроси фмцб шоб накатил.или на алиэхпресс заказуй готовую карту. дальше уже сам всё накрутишь...
|
|
rut328746
Стаж: 10 лет 5 месяцев Сообщений: 13884
|
rut328746 ·
15-Июл-19 22:32
(спустя 2 часа 19 мин.)
lord anime писал(а):
77675780Просто диск за 4 бакса можно найти
ты уверен что ты реально найдёшь конкретно нужный диск конкретно нужной версии за 4 бакса?
|
|
rut328746
Стаж: 10 лет 5 месяцев Сообщений: 13884
|
rut328746 ·
16-Июл-19 00:24
(спустя 1 час 51 мин.)
lord anime
ты прям реально видел на али объявления о продажи именно таких дисков, с которых работает эксплойт?
|
|
lord anime
Стаж: 13 лет Сообщений: 1798
|
lord anime ·
16-Июл-19 21:10
(спустя 20 часов)
rut328746 писал(а):
77677092lord anime
ты прям реально видел на али объявления о продажи именно таких дисков, с которых работает эксплойт?
Не.Я готовую карту купил Ж)
|
|
Driv3r Off Road
Стаж: 10 лет 9 месяцев Сообщений: 1460
|
Driv3r Off Road ·
01-Сен-19 09:03
(спустя 1 месяц 15 дней, ред. 01-Сен-19 09:03)
fiuke писал(а):
77675982lord anime
тада ищи чувака с форума шоб земляк типа был и попроси фмцб шоб накатил.или на алиэхпресс заказуй готовую карту. дальше уже сам всё накрутишь...
ссылку на готовую карту.
|
|
fiuke
Стаж: 13 лет 3 месяца Сообщений: 3231
|
fiuke ·
01-Сен-19 12:34
(спустя 3 часа, ред. 01-Сен-19 12:34)
Driv3r Off Road
в ждунах в ждунах в ждунах в ждунах в ждунах в ждунах в ждунах в ждунах в
кот в кульке https://aliexpress.ru/item/32822191217.html
|
|
RealVarAX
Стаж: 16 лет 10 месяцев Сообщений: 62
|
RealVarAX ·
10-Июн-20 23:42
(спустя 9 месяцев)
Подскажите, кто знает, с чем связана следующая фигня: я сам давно юзаю fmb, сто лет назад раздобыл чипованную соньку и сделал карту для своей не чипованной американки (модель 770XX). А тут недавно знакомый дал свою немку (модель 700XX) и говорит, сделай мне такую же карту. И для начал я решил вставить свою карту в его приставку, но она ни в какую не стала с неё грузиться!! Но почему? и что можно сделать?
|
|
rut328746
Стаж: 10 лет 5 месяцев Сообщений: 13884
|
rut328746 ·
11-Июн-20 01:29
(спустя 1 час 46 мин., ред. 11-Июн-20 01:29)
потому что fmcb (старые версии, которые ты и мог поставить "сто лет назад") был индивидуальным для каждого региона
т.е. делать "волшебную карту" можно было только на консоли того же региона, с совпадающей последней цифрой
потом наконец придумали универсальный мцбут без этого ограничения
ну и как-бэ ответ на вопрос становится сразу очевиден: что делать? ставить универсальный мцбут
|
|
Black Cash Market
Стаж: 4 года 6 месяцев Сообщений: 245
|
Black Cash Market ·
06-Авг-20 15:27
(спустя 1 месяц 25 дней)
чё та новенькое:
Цитата:
30 июня выпустили FreeDVDBoot, ломающий систему через встроенный ДВД-плеер. Теперь нет нужды ни в чипе, ни в карте с FreeMCBoot - прожигается болванка с игрой/хоумбрю и вперед.
http://wololo.net/2020/06/30/playstation-2-freedvdboot-gets-support-for-dvd-playe...s-now-supported/ https://github.com/CTurt/FreeDVDBoot
|
|
SquareFun
Стаж: 16 лет 3 месяца Сообщений: 31096
|
SquareFun ·
08-Авг-20 20:09
(спустя 2 дня 4 часа, ред. 08-Авг-20 20:09)
рус клон темы
скрытый текст
Ранее я уже говорил о том, что в PlayStation 2 нет хороших программных подвигов для запуска homebrew. Вам необходимо либо приобрести карту памяти с предварительно установленным эксплойтом, открыть консоль, чтобы заблокировать датчики лотка диска, либо установить модчип. Для самой продаваемой консоли за все время она заслуживает лучших хаков. Моя первая попытка решить эту проблему состояла в том, чтобы использовать интерпретатор BASICэто пришло с ранних PS2 региона PAL. Хотя мне удалось создать первый программный эксплойт для точки входа, который можно запустить с использованием только оборудования, поставляемого с консолью, атака была в значительной степени подвергнута критике из-за необходимости вручную вводить полезную нагрузку через контроллер или клавиатуру, и ограничение только PAL. Я решил списать этот эксплойт как нецелесообразный, и поэтому охота продолжилась для лучшего сценария атаки для PlayStation 2. PlayStation 2 имеет другие источники ненадежного ввода, на которые мы могли бы атаковать; игры, которые поддерживают многопользовательский онлайн или USB-накопитель, почти наверняка можно использовать. Но, в отличие от, скажем, Nintendo 64, где у нас нет другого выбора, кроме как прибегнуть к использованию игр через интерфейсы, такие как модемыPlayStation 2 имеет одно ключевое отличие: его основным входом является оптический носитель (CD / DVD-диски), формат, который любой может легко записать с помощью легкодоступного пользовательского оборудования. Это оставляет интересный вопрос, который я хотел решить, так как я был ребенком:
- "Можно ли просто записать наши собственные домашние игры и запускать их на неизмененной консоли так же, как мы запускаем официальные диски (без какого-либо взаимодействия с пользователем, такого как перестановка дисков или запуск сетевого эксплойта в игре)?" В конечном итоге мне удалось достичь своей цели, используя функциональность DVD-плеера консоли. В этом блоге будут описаны технические детали и процесс обращения DVD-плеера и его эксплуатации. Весь мой код доступен на GitHub .Демонстрационное видео о новой игре PlayStation 2 через DVD-плеер, которое позволяет записывать домашние игры и запускать их на неизмененной консоли так же, как на официальных дисках. Это демо показывает результат на PS2SDK патч , который добавляет поддержку для чтения DVD - видеодиски (uLaunchELF теперь можно загрузить хомбрю с диска, а теперь эмуляторы может загружать диски с диска).
Источник: Twitter @CTurtE
Скачать .iso-Image: прекомпилированный ISOs
Полного сообщение в блоге: FreeDVDBoot
FreeDVDBoot на GitHub: CTurt
Канал YouTube: CTurt
скрытый текст
FreeDVDBoot - взлом PlayStation 2 через DVD-плеер Первоначальная публикация: 27 июня 2020 г.Ранее я уже говорил о том, что в PlayStation 2 нет хороших программных подвигов для запуска homebrew. Вам необходимо либо приобрести карту памяти с предварительно установленным эксплойтом (или адаптером карты памяти на USB), отсек расширения жесткого диска (недоступно для тонких консолей), открыть консоль для блокировки датчиков лотка для дисков, либо установить Modchip. Для самой продаваемой консоли за все время она заслуживает лучших хаков.
Моя первоначальная попытка решить эту проблему состояла в том, чтобы использовать интерпретатор BASIC, который поставлялся с ранними PS2 региона PAL. Хотя мне удалось создать первый программный эксплойт для точки входа, который можно запустить с использованием только оборудования, поставляемого с консолью, атака была в значительной степени подвергнута критике из-за необходимости вручную вводить полезную нагрузку через контроллер или клавиатуру, и ограничение только PAL. Я решил списать этот эксплойт как непрактичный, и поэтому охота продолжилась для лучшего сценария атаки для PlayStation 2.
PlayStation 2 имеет другие источники ненадежных данных, которые мы могли бы атаковать; игры, которые поддерживают многопользовательский онлайн или USB-накопитель, почти наверняка можно использовать. Но в отличие от, скажем, Nintendo 64, где у нас нет другого выбора, кроме как прибегнуть к использованию игр через интерфейсы, такие как модемы , PlayStation 2 имеет одно ключевое отличие: его основным входом является оптический носитель (CD / DVD-диски), формат, который каждый может легко записать на легкодоступном потребительском оборудовании. Это оставляет интересный вопрос, который я хотел решить, так как я был ребенком:
Можно ли просто записать наши собственные домашние игры и запускать их на неизмененной консоли так же, как мы запускаем официальные диски (без какого-либо взаимодействия с пользователем, такого как перестановка дисков или запуск сетевого эксплойта в игре)? В конечном итоге мне удалось достичь своей цели, используя функциональность DVD-плеера консоли. В этом блоге будут описаны технические детали и процесс обращения DVD-плеера и его эксплуатации. Загрузка резервных копий коммерческих игр также возможна . Весь мой код доступен на GitHub . Поверхность атаки видеоплеера DVD Очевидно, мы не можем просто записать диск, содержащий файл ELF, и ожидать, что PS2 загрузит его; нам нужно будет использовать какую-то уязвимость программного обеспечения, связанную с анализом контролируемых данных. Консоль поддерживает воспроизведение записанных видеодисков DVD, что открывает значительные возможности для атаки, которые мы могли бы потенциально использовать для достижения нашей цели.
Если мы подумаем о том, из чего состоит DVD-видео, есть немало основных компонентов, каждый из которых может быть уязвим:
- Файловая система UDF
- DVD-видео метаданные / субтитры
- Аудио и видео декодирование
- Интерактивная машина
Несмотря на то, что полная спецификация DVD Video, к сожалению, стоит за платным доступом, она в основном состоит из открытых форматов, таких как MPEG , просто связанных в собственном формате контейнера (VOB). Для имущественных аспектов есть некоторые свободно доступные неофициальные ссылки.
Формат файла IFO , вероятно, является самым простым используемым форматом и отвечает за хранение метаданных, которые связывают видеофайлы вместе.
Интерактивная машина - это то, что позволяет создавать интерактивные меню и игры в DVD-видео. Он имеет 32 группы инструкций и интересен тем, что потенциально может использоваться для динамического манипулирования состоянием внутренней памяти для запуска эксплойта, или его можно использовать для создания универсального DVD-диска с меню, позволяющим выбрать версию встроенного программного обеспечения и запустить соответствующий подвиг. Настроить Ясно, что проводить тестирование на реальном оборудовании практически нецелесообразно, поскольку запись сотен тестовых дисков была бы бесполезной и неэффективной по времени. Нам нужен эмулятор с некоторой поддержкой отладчика, и именно здесь мы столкнулись с нашим первым препятствием: самый популярный эмулятор для PlayStation 2, PCSX2, не поддерживает воспроизведение DVD-видео , и никто не заинтересован в добавлении поддержки.
Я хотел бы поблагодарить krHacken за помощь в преодолении этого первого контрольно-пропускного пункта. Оказывается, PCSX2 поддерживает DVD-плеер; он просто не может загрузить его автоматически, поскольку он находится в зашифрованном хранилище, а PCSX2 не поддерживает расшифровку. Существуют общедоступные инструменты, которые могут расшифровать и извлечь DVD-плеер из хранилища EROM. Затем его можно упаковать в ELF для легкой загрузки в PCSX2.
В связи с большим количеством выпущенных моделей PlayStation 2, каждая из которых имеет несколько разные прошивки DVD-плеера (> 50 ...), я остановлюсь на одном DVD-плеере на время этой статьи: 3.10E (с настройкой на английском языке в Настройки PS2), как это бывает прошивка для консоли у меня есть. Обновление: очевидно, эксплойт 3.10E, описанный здесь, работает на консоли 3.10U без изменений.
Я буду продолжать использовать Ghidra для декомпиляции, как я использовал в предыдущих статьях. DVD-проигрыватель не содержит каких-либо символов, поэтому все имена в фрагментах кода были назначены мной с помощью реверс-инжиниринга. Данные, контролируемые диском Первый файл, который DVD-плеер попытается прочитать, - это VIDEO_TS.IFO. Выполняя поиск в памяти содержимого файла и затем устанавливая там точки останова записи в память, чтобы отследить, где он был записан, мы быстро находим API, который считывает содержимое диска, используемого кодом синтаксического анализа IFO, по getDiscByteадресу 0x25c920. Это потоковый считыватель, который кэширует несколько секторов в буфере ОЗУ, а затем автоматически ищет больше данных, когда это необходимо:
byte getDiscByte(void) { byte ret ; if (currentDiscBytePointer < endDiscBytePointer ) { ret = *currentDiscBytePointer ; } else { currentDiscBytePointer = &buffer ; setOffset = setOffset + numberOfSectorsRead ; getDiscByteInternal(); ret = *currentDiscBytePointer ; } currentDiscBytePointer = currentDiscBytePointer + 1; return ret ;}
От поиска вызовов к этому мы также можем быстро найти оболочки, которые извлекают данные больших размеров: getDiscU16( 0x25c980), getDiscU32( 0x25c9b8) и getDiscData( 0x25c9f0), что наиболее интересно, так как читает произвольную длину данных:
void getDiscData(uint size , byte *destination ) { byte b ; uint i ; i = 0; if (size != 0) { do { i = i + 1; b = getDiscByte(); *destination = b ; destination = destination + 1; } while (i < size ); } return;} Большой читает Первое, что я сделал, - это поиск звонков getDiscDataв надежде найти звонок с контролируемым размером и без проверки границ.
Конечно же, мы очень быстро выявляем около 4 явных уязвимостей переполнения буфера такого рода. Возвращаясь к формату файла IFO , мы видим, что существуют многочисленные 16-битные длины массивов, которые необходимы для анализа структур данных переменного размера в файле. DVD-проигрыватель по ошибке ожидает только максимальную длину, допустимую спецификацией DVD, и поэтому в нем отсутствуют чеки для отклонения дисков с большей длиной. Поскольку все копии выполняются в статически распределенных буферах памяти, указание длины больше допустимой приведет к переполнению буфера. Например, ниже приведена декомпиляция для следующей 0x25b3bc:
large1 = getDiscU16(); large2 = getDiscU16(); large3 = getDiscU16(); ignored = getDiscU16(); getDiscData(((uint )large1 + (uint )large2 + (uint )large3 ) * 8, &DAT_0140bdd4 );
Это наиболее интересный вариант, поскольку он позволяет максимально увеличить размер копии (в 0xffff * 3 * 8 = 0x17FFE8байтах) из всех getDiscDataпереполнений буфера. Он копирует в статически выделенный буфер в 0x0140bdd4, и, указав максимально возможный размер копии, мы получаем контроль над адресным пространством от 0x140bdd4to 0x158BDBC( 0x140bdd4 + 0x17FFE8). Коррупция от большого чтения Как видите, мы можем контролировать довольно большую область памяти, используя вышеуказанную уязвимость. Тем не менее, сканирование через эту память изначально очень разочаровывает; указателей очень мало, и ни один из них не выглядит особенно интересным для коррупции!
Хотя в этом регионе нет интересных указателей, есть некоторые индексы, которые в случае повреждения могут привести к дальнейшему выходу за пределы повреждения памяти.
Обратите внимание , что большая читается как это не всегда копировать смежные данные из файла IFO, поскольку секторы начнут повторять один раз мы превышать размер файла, но обычно предполагается , что все данные , записанные с помощью getDiscDataвызова можно регулировать , как это происходит из где - то на диск. Кроме того, после записи определенной суммы мы можем переполниться во внутреннее состояние, используемое getDiscByteфункциями, но мы вернемся к этому позже. OOB звонок У 0x25e388нас есть этот вызов записи в массиве указателей на функции, где мы можем контролировать 16-битный fpIndexпоток 0x141284aиз переполнения:
(*(code *)(&PTR_LAB_005b9d40 )[(uint )fpIndex ])(puVar6 + ((uint )DAT_01412841 - 1) * 8);
Это позволяет нам перейти к адресу, который хранится в любом месте от 0x5b9d40до 0x5b9d40 + 0xffff * 4 = 0x5F9D3C. Использование OOB звонка Этот примитив не совсем идеален, поскольку ни одна из наших ошибок переполнения не позволяет нам контролировать память, из которой считываются цели прыжка. Хуже того, большая часть этой области памяти отображается из секции DVD-плеера, предназначенной только для чтения, поэтому маловероятно, что мы сможем повлиять на содержимое этой области памяти без еще одной ошибки.
После указателей на функции мы видим некоторые адреса для switch caseметок, что немного интересно, потому что это позволяет нам перейти к середине функции и выполнить ее эпилог, не выполнив ее пролог, что позволяет нам сместить указатель стека и вернуться к неожиданное значение в стеке. Я прошел через все это, и, к сожалению, я только мог использовать это, чтобы перейти к 0.
Наконец, после указателей кода мы видим строковые данные только для чтения. Интересно, что эти данные можно изменить, переключая языки в меню PS2, что дает большую надежду найти хотя бы одну полезную цель перехода в каждой версии прошивки, однако, к сожалению, это происходит за счет того, что пользователь вынужден перенастроить свой язык.
Я решил сбросить всю область возможных целей перехода, сгруппировать их в 4 байта и посмотреть, будет ли какая-либо из них указывать на память, которую мы контролируем через уязвимость переполнения ... Удивительно, но есть результат: точки индекса 0xe07e(адреса 0x5f1f38) к 0x1500014, что находится в пределах нашего контролируемого диапазона! Это не идеально, так как это кэшированный виртуальный адрес, и поэтому мы можем столкнуться с проблемами когерентности кэша, но это может сработать. Написать письмо Удивительно, что у нас есть действительная цель прыжка, которая уже указывает на память, которой мы можем управлять. Поскольку другие версии DVD-плеера с другим адресным пространством, вероятно, не будут иметь такой же роскоши, я кратко расскажу о еще одном примитиве коррупции, на случай, если он окажется полезным для любого, кто пытается использовать версию своей собственной консоли.
Есть возможная OOB запись в 0x25c718(внутри getDiscByteInternal):
if (*(int *)(&DAT_01411e54 + indexForOOBW * 4) == 0) { error = getBuffer(filename ,0,&buffer ,1,0); if (error < 0) goto LAB_0025c79c ; lVar3 = FUN_002161f8(0x140de40,pcVar4 ,0xc); if (lVar3 == 0) { uVar2 = getControlledValue();--> *(undefined4 *)(&DAT_01411e54 + indexForOOBW * 4) = uVar2 ; if (*(int *)(&DAT_01411e54 + indexForOOBW * 4) != 0) goto LAB_0025c7ac ; } error = -3; }
Поскольку indexForOOBWэто 32-битное значение, его повреждение из-за большого переполнения может потенциально позволить запись в произвольный адрес в этом пути.
Есть ограничение, что значение должно быть 0перед тем, как вы его напишите (согласно первой строке в этом фрагменте), но это не должно значительно усложнить эксплуатацию. Вы можете легко перезаписать NOPв слоте задержки где-нибудь переход к регистру, который оказывается управляемым во время выполнения. В качестве альтернативы лучшим подходом было бы связывание этой записи OOB с упомянутым выше вызовом OOB; Вы перезаписываете один из адресов, которые мы можем использовать в качестве цели перехода, которая 0попадает в произвольную новую цель перехода.
Когда я кратко поэкспериментировал с этим примитивом, он не удался при вызове, getBufferпотому что ранее в функции он генерировал filenameпереход sprintf(filename, "VTS_%02d_0.IFO", indexForOOBW), а файл "VTS_1364283729_0.IFO"не существовал. Мы не можем создать этот файл , как правило , потому что код имеет максимальную длину имени файла , который мы запускаем в при попытке больших индексов , как это (я думаю , что это либо 15или 16байты). Вы можете обойти ограничение длины и по-прежнему использовать эту ошибку, чтобы повредить довольно большую область памяти, или может быть возможно испортить достаточно внутренних структур данных через другое переполнение, чтобы обманным путем заставить думать, что эти большие индексные файлы существуют. Так как мне не нужно было это для моей консоли, я не проанализировал эту возможность полностью и приступил просто к использованию вызова OOB. Запуская эксплойт На данный момент, у нас есть довольно четкий путь для использования большого переполнения чтения: мы перезаписываем fpIndexto 0xe07eи переполняем нашу полезную нагрузку в 0x1500014. Когда код затем индексируется в массив указателей на функции с использованием поврежденного fpIndex, он вызывает переход к нашей полезной нагрузке. Вредное getDiscByteсостояние Первая проблема, с которой мы сталкиваемся, заключается в том, что первое, что мы намереваемся испортить, fpIndex( 0x141284a), находится после currentDiscBytePointer( 0x1411fe4) и endDiscBytePointer( 0x1411fe8) в памяти, и поэтому те значения, которые влияют на вывод, getDiscByteбудут уже испорчены к тому времени, когда мы пытаемся поврежден fpIndexи, возможно, был перенаправлен, чтобы больше не указывать на память, установленную на содержимое нашего файла IFO.
Решение состоит в том, чтобы прервать запись, currentDiscBytePointerчтобы выяснить его значение в то время, когда мы собираемся его испортить, и убедиться, что мы просто перезаписываем то же значение, которое уже имело. Мы также можем изменить endDiscBytePointerна, 0xffffffffчтобы предотвратить вызов, getDiscByteInternalкоторый привел бы к еще большей путанице, если бы он был вызван, пока мы находимся в полуразрушенном состоянии. Коррумпирование fpIndex Теперь, когда переполнение достигает fpIndexи все еще копирует контролируемое содержимое из файла IFO, мы можем разбить его и посмотреть currentDiscBytePointerна момент его повреждения, чтобы найти место, из которого IFO мы копируем. Как только мы нашли это, мы можем изменить эти байты в файле на 7e e0(представление с прямым порядком байтов 0xe07e), чтобы указывать на нашу цель перехода.
Точно так же мы можем прервать запись, 0x1500014чтобы выяснить, откуда в файле будет скопирована наша полезная нагрузка, и установить для нее какое-либо значение заполнителя.
Теперь, запустив эксплойт и взломав вызов OOB ( 0x25e388), мы столкнулись с новой проблемой: индекс был переписан между нашим повреждением и его использованием для вызова. Если мы не можем избежать этой записи, это может стать тупиком для этого метода эксплуатации.
Прерывая запись fpIndexпосле нашего большого чтения, мы видим, что оно написано внутри этой функции по адресу 0x25E970:
int setFpIndex(void) { if (DAT_01412856 != 0) { if (DAT_0141284e == '\0') { if (DAT_01412854 == 0) { fpIndex = 3; } else { fpIndex = 4; } } else { if (DAT_01412854 == 0) { fpIndex = 5; } else { fpIndex = 6; } } return 0; } return -1;}
Заметьте, как не все пути пишут fpIndex? Если 16-разрядное значение в 0x1412856(которое мы также можем испортить при переполнении) установлено в значение 0, оно будет оставлено в fpIndexпокое и вернется, -1чтобы указать сбой.
Цепочка вызовов, которая ведет к, setFpIndexнаходится непосредственно перед вызовом OOB сама ( 0x25e378), и также нет проверки возвращаемого значения setFpIndex! Это означает, что мы можем обойти инициализацию fpIndexи все еще достичь вызова OOB, пока он все еще содержит наше искаженное значение:
callSetFpIndex(puVar6 + ((uint )DAT_01412841 - 1) * 8); (*(code *)(&PTR_LAB_005b9d40 )[(uint )fpIndex ])(puVar6 + ((uint )DAT_01412841 - 1) * 8);
Когерентность кэша В этот момент мы переходим к памяти контролируемого содержимого, что должно означать выполнение произвольного кода! Однако мы записываем нашу полезную нагрузку в кэшированное сопоставление виртуальных адресов, а также выполняем ее оттуда, что создает два потенциальных источника сбоя на оборудовании, которое нам необходимо рассмотреть:
- Полезная нагрузка, возможно, не была сброшена из кэша данных в основную память во время выполнения,
- Кэш команд, возможно, не был очищен, поскольку полезная нагрузка достигла основной памяти, поэтому мы можем вместо этого выполнить устаревший кэш команд,
Первый - разрешимый: мы можем расширить нашу большую копию до максимально возможного размера ( 0xffff * 3 * 8) и, возможно, даже использовать другие большие копии для записи максимально возможного количества данных, чтобы гарантировать, что наша полезная нагрузка будет удалена из кэша данных на месте чего-то еще. Я придерживался этого максимально возможного размера в моем эксплойте, но вы могли бы точно отрегулировать это число, чтобы оптимизировать время загрузки на долю секунды, если бы вы были так склонны.
Вторая не очень разрешима. Поскольку мы не контролируем целевой адрес перехода, мы не можем вместо этого перейти к некешированному виртуальному адресу, чтобы обойти кэш инструкций, и, насколько мне известно, нет никакого способа манипулировать программой для динамической загрузки нового кода, вызывающего очистку кэша инструкций после того, как наша полезная нагрузка имеет было написано. Однако, на самом деле, это даже не проблема, потому что кеш команд сбрасывается во время запуска, и наша полезная нагрузка не перезаписывает какой-либо существующий код, поэтому не будет никакого устаревшего кеша команд, покрывающего адрес полезной нагрузки (процессор PS2 не не имеет спекулятивного выполнения или чего-либо еще, что могло бы привести к созданию записей кэша команд по не архитектурно выполненным путям).
Учитывая, что согласованность кэша не является проблемой, я попробовал простую полезную нагрузку, которая просто загружает меню браузера, чтобы убедиться, что полезная нагрузка будет выполняться на оборудовании, и записала тестовый диск:
void _start(void) { //Exit(0); asm volatile("la $v1, 0x04; la $a0, 0; syscall 0x04");}
Это сработало! Начальная полезная нагрузка Полезная нагрузка должна прочитать ELF с диска и затем выполнить его. Это кажется простым, но есть несколько разных соображений:
- Как не допустить вмешательства других потоков в данные, которые мы пишем,
- Как читать данные с диска,
- Куда читать данные,
- Как выполнить данные,
Я начал с базового, crt0.sкоторый использовал бы ExecPS2системный вызов для запуска main, переинициализируя внутреннее состояние ядра и, таким образом, уничтожая другие потоки, чтобы предотвратить их повреждение всей памяти, используемой нашей полезной нагрузкой:
.section .text.startup.global _start_start: #la $a0, 0x7f #la $v1, 0x01 #syscall 0x01 # ResetEE la $a0, main la $a1, 0 la $a2, 0 la $a3, 0.global ExecPS2ExecPS2: la $v1, 7 syscall 7 # ExecPS2
Моей первой попыткой загрузить ELF с диска было использование тех же самых высокоуровневых вызовов функций, которые использовались для чтения данных из файла IFO ( pointToIFO( 0x25c880), за которым следовал getDiscDataжелаемый размер). Когда я попытался это сделать, он смог получить только один сектор ( 0x800байты) данных, вероятно, из-за предыдущего повреждения из-за переполнения буфера.
Вместо того, чтобы попытаться это исправить, я решил использовать функцию самого низкого уровня getBufferInternal( 0x2986a0), которая просто вызывает SifCallRpc( 0x2096e8), чтобы запросить сопроцессор IOP для выборки данных, а затем ожидает завершения. Это сработало отлично.
Следующее соображение - куда загрузить файл ELF. Выполнение readelf -lскажет нам, что цель не является независимым от позиции двоичным файлом и должна быть загружена в определенном месте:
readelf -l BOOT.ELFElf file type is EXEC (Executable file)Entry point 0x1d00008There is 1 program header, starting at offset 52Program Headers: Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align LOAD 0x000060 0x01ca1450 0x01ca1450 0x5ed6d 0x5ee30 RWE 0x10
Я придумал следующее, что успешно загрузило мой целевой ELF в PCSX2:
#define SifIopReset ((void (*)(char *, int))0x84fe0)#define SifIopSync ((int (*)(void))0x85110)#define SifInitRpc ((void (*)(int))0x84180)#define SifExitRpc ((void (*)(void))0x84310)#define PAYLOAD_SIZE 0x5ed6d#define MEM_SIZE 0x5ee30#define DESTINATION 0x01ca1450#define ENTRY 0x1d00008__attribute__((noreturn )) int main(void) { // Target relative to VIDEO_TS.IFO (starting DVDVIDEO-VMG...) int lbaOffset = 8338 - 285; char ignored [] = ""; getBufferInternal(ignored , 0, lbaOffset , (void *)DESTINATION - 0x60, (PAYLOAD_SIZE + 0x60 + 0x7ff) / 0x800, 0); // Init BSS section for(i = 0; i < MEM_SIZE - PAYLOAD_SIZE ; i ++) { ((char *)DESTINATION + PAYLOAD_SIZE )[i ] = 0; } SifIopReset(0, 0); while(!SifIopSync()); SifInitRpc(0); SifExitRpc(); asm volatile("la $v1, 0x64; la $a0, 0; syscall 0x64"); // FlushCache data writeback asm volatile("la $v1, 0x64; la $a0, 2; syscall 0x64"); // FlushCache instruction invalidate //void ExecPS2(void* entry, void* gp, int argc, char** argv); //ExecPS2((void *)ENTRY, 0, 0, 0); asm volatile("la $a0, 0x1d00008; la $a1, 0; la $a2, 0; la $a3, 0; la $v1, 7; syscall 7");} Улучшения полезной нагрузки Есть ряд вещей, не идеальных с начальной полезной нагрузкой. Он не очень переносим, потому что мы полагаемся на жесткое кодирование как смещения из файла IFO в файл полезной нагрузки, так и базового адреса целевого ELF. Мы также полагаемся на целевой адрес загрузки ELF, не перекрывающийся ни с одной из функций, которые мы все еще вызываем во время загрузки и загрузки. 2 этап загрузки Чтобы сделать вышеупомянутые улучшения, нам нужно больше места. Начальная полезная нагрузка (в настоящее время называется стадией 1) расположена со смещением 0x2bb4в файле IFO, а fpIndexзначение искажения - в 0x2faa, поэтому мы можем использовать только 0x2faa - 0x2bb4 = 1014байты непрерывного пространства. Мы могли бы рассмотреть разбрасывание битов полезной нагрузки в более ранних или более поздних местах в файле и просто перейти к ним, но это довольно опасно сделать, поскольку трудно предположить, останется ли наша полезная нагрузка неизменной между записью ее с переполнением и временем мы выполняем это: части полезной нагрузки могли быть переписаны так же, как fpIndexизначально была переписана наша поврежденная .
Вместо этого мы просто сделаем этап 1 как можно меньшим и загрузим этап 2, где мы сможем реализовать хороший загрузчик ELF без каких-либо ограничений пространства.
После того, как этап 1 вызван ExecPS2для уничтожения других потоков, как и раньше, мы загрузим этап 2 с конца файла IFO со смещением 0x3000до конца ОЗУ EE, очистим кэш и затем запустим его. Мы также установим стек в ОЗУ scatchpad, чтобы он не перекрывался ни с одним разделом ELF:
load: la $a0, 0 la $a1, 0 # 0 = VIDEO_TS.IFO, 1 = VTS_01_0.IFO la $a2, 0x3000 / 0x800 # lba offset in file la $a3, payload # Destination la $t0, 0x800 / 0x800 # Count la $t1, 0 la $v0, getBufferInternal jalr $v0 nopboot: la $v1, 0x64; la $a0, 0; syscall 0x64 # FlushCache data writeback la $v1, 0x64; la $a0, 2; syscall 0x64 # FlushCache instruction invalidate # Point stack to end of scratchpad RAM la $sp, 0x70004000 # Execute from relocated place la $v0, ENTRY j $v0 nop
Этап 2 теперь может иметь произвольный размер C-кода, поскольку нет фиксированного ограничения пространства. Нахождение файла полезной нагрузки Чтобы избежать необходимости жестко кодировать смещение целевого ELF, я решил сохранить его VTS_02_0.IFOи использовать существующие функции, которые я уже перевернул, для обновления внутренних структур данных, чтобы они указывали на LBA нового файла:
// Point to VTS_02_0.IFO pointToIFO(2, 0, 0); // Force a read from VTS_02_0.IFO char head [64]; getDiscData(64, &head ); // Now reads from VTS_02_0.IFO getBufferInternal("", 1, sectorOffset , buffer , sectorCount , 0); Загрузка ELF Я снял ограничение необходимости жесткого кодирования адреса загрузки ELF, динамически читая его через заголовок ELF, основываясь на коде из uLaunchELF , но адаптирован для чтения с диска:
elf_header_t eh ; readData(&eh , 0, sizeof(elf_header_t )); elf_pheader_t eph [eh .phnum ]; readData(&eph , eh .phoff , sizeof(elf_pheader_t ) * eh .phnum ); for (i = 0; i < eh .phnum ; i ++) { if (eph [i ].type != ELF_PT_LOAD ) continue; readData(eph [i ].vaddr , eph [i ].offset , eph [i ].filesz ); if(eph [i ].memsz > eph [i ].filesz ) memset(eph [i ].vaddr + eph [i ].filesz , 0, eph [i ].memsz - eph [i ].filesz ); }
Это оно! Мы можем надежно выполнить ELF-файл VTS_02_0.IFOна диске, без каких-либо ограничений по его базовому адресу или необходимости заранее задавать конкретные детали о нем. Полный код доступен на GitHub . Дальнейшие разработки Хотя сам эксплойт уже завершен, в настоящее время мы не можем сделать ничего особенного, кроме загрузки небольших автономных доморощенных игр, таких как Tetris. Многофайловый доморощенный В идеале было бы неплохо, чтобы эксплойт загрузился в меню, которое позволяло бы вам выбрать другую самодельную программу из нескольких, сохраненных на одном диске, и которое могло бы затем загрузить дополнительные данные с диска (такие как загрузка эмулятора). ROM). К сожалению, код файловой системы PS2SDK и, как следствие, все домашние версии PS2 не поддерживает DVD-видео. Поскольку DVD-видео - это единственный тип диска, который могут быть записаны неизмененными консолями, который мы можем записать, я предполагаю, что все ранее были удовлетворены только загрузкой данных через USB.
Я решил показать эксплойт некоторым энтузиастам PS2 в надежде, что это может вдохновить кого-то взглянуть, и Уйюлиан был любезен потратить некоторое время, добавив поддержку и отправив запрос на извлечение . Если вы перекомпилируете PS2SDK с этим исправлением, а затем перекомпилируете свое домашнее приложение, оно будет поддерживать загрузку файлов DVD-видео с cdfsустройства.
Это не идеальное решение, так как у нас нет исходного кода для всего домашнего пивовара PS2, произведенного за последние 20 лет, но также возможно выполнить двоичное исправление домашнего кофе, чтобы вручную заменить cdvd.irxмодуль IOP новым, чтобы добавить поддержку DVD-видео. , Например, 'Howling Wolf & Chelsea' исправил эмулятор SNES Station с закрытым исходным кодом, позволив мне сделать следующее демо (особая благодарность!): Загрузка резервных копий с помощью ESR Уже существует инструмент (ESR patcher), который исправляет игры, чтобы они выглядели как DVD-видео, чтобы они могли быть приняты «mechacon» (процессор безопасности), и связанную программу-загрузчик (ESR), которая загружает эти пропатченные «видеодиски» , Объединение в цепочку этого нового эксплойта с этим загрузчиком ESR позволит вам исправлять резервные копии, чтобы их можно было просто записывать и запускать на консоли из загрузки, как если бы они были официальными дисками.
На самом деле я не хочу отвечать за поддержку инструмента, который делает это, поэтому я не включаю в него какой-либо код для репо, но суть его можно объяснить довольно быстро, поэтому я просто предоставьте некоторые заметки, объясняющие, как это сделать:
ESR патчер будет два файла, VIDEO_TS.IFOи VIDEO_TS.BUP, в UDF файловой системы диска. Нашему эксплойту требуются два файла с именами VIDEO_TS.IFOи VTS_01_0.IFO, поэтому просто замените VIDEO_TS.BUPстроку, с которой он пишет, VTS_01_0.IFOчтобы создать структуру файловой системы, которая нам нужна.
Атрибуты, которые нам нужны для этих файлов, - это размер (4 байта) и позиция LBA (2 байта). В спецификации UDF эти поля являются смежными, и LBA хранится как смещение от дескриптора каталога, содержащего эти поля ( в нашем случае это VIDEO_TSLBA 134). Инструмент создает эти файлы с размером 2032байтов, LBA 138и 139, таким образом, интересующие нас шаблоны байтов:
VIDEO_TS.IFO: f0 07 00 00 0a 00VIDEO_TS.BUP: f0 07 00 00 0b 00
Содержание файловой системы ISO 9660, используемой в играх, как правило, начинается примерно с 260, что, по моему мнению, является требованием Sony. Это здорово для нас, так как это означает, что у нас есть примерно 250 КБ ((262-137) * 0x800)места для размещения файлов эксплойтов и загрузчика, и нам нужна только часть этого. Учитывая такое количество места, можно было бы даже включить какое-нибудь чит-меню Action Replay или что-то на диске, что могло бы стать забавным будущим проектом.
На VIDEO_TS.IFOуровне LBA 138 нам просто нужно увеличить его размер 14336и скопировать содержимое файла 138 * 0x800 = 0x45000в ISO. Наше следующее свободное место будет на 7 секторов позже на LBA 145 и будет хранить содержимое нашего 12288байтового VTS_01_0.IFOфайла. Наконец, программа загрузки ESR может быть скопирована в следующий доступный сектор по адресу 151; мы не станем создавать для него запись в файловой системе UDF, так как в любом случае нам уже пришлось вручную изменять ISO.
Таким образом, исправления, которые мы должны сделать для данных UDF, чтобы добавить наш эксплойт в исправленную игру:
VIDEO_TS.BUP -> VTS_01_0.IFO (to rename the file)f0 07 00 00 0a 00 -> 00 38 00 00 0a 00 (VIDEO_TS.IFO filesize to 14336)0x45000: paste VIDEO_TS.IFO exploit contents (compiled with LOAD_FROM_SECTOR_RELATIVE_TO_VIDEO_TS_IFO so as to boot the ELF from disc at 0x4B800)f0 07 00 00 0b 00 -> 00 30 00 00 11 00 (VIDEO_TS.BUP/VTS_01_0.IFO LBA to 145 and filesize to 12288)0x48800: paste VTS_01_0.IFO contents0x4B800: paste loader ELF
Я сделал это только один раз, вручную, но было бы довольно просто изменить инструмент для изменения этих патчей. В результате получилась довольно крутая демонстрация, демонстрирующая полное поражение модели безопасности защиты от копирования PlayStation 2:
ffgriever работает над новой версией ESR, чтобы убрать надоедливую заставку и мерцающие цвета оптимизация Как уже упоминалось ранее, эксплойт, вероятно, можно было бы оптимизировать, чтобы он загружался на доли секунды быстрее за счет уменьшения размера переполнения. Также стоит отметить, что одна из причин, по которой экран мерцает при срабатывании эксплойта, заключается в том, что я случайно закодировал свое базовое DVD-видео в NTSC, и поэтому некоторые из этих мерцаний являются артефактом переключения с PAL на NTSC обратно на PAL. Если это вас беспокоит, вы можете вместо этого заново создать эксплойт на основе базового DVD PAL. Некоторые из отображаемых странных белых шаблонов, вероятно, являются результатом переполнения, и вы можете удалить его, манипулируя большим количеством данных переполнения. Портирование на другие версии прошивки Процесс портирования довольно трудоемкий, потому что вам нужно вручную определить все соответствующие функции, чтобы найти правильные смещения, определить подходящую цель перехода и заново связать полезную нагрузку загрузчика с новыми адресами. Можно было бы автоматизировать некоторые из них с помощью сигнатур декомпиляции, но сейчас это полностью ручной процесс, который занимает не менее 1 часа. Сначала я портировал на 3.11J и загрузил свои заметки по портированию в репозиторий на случай, если кто-то захочет попробовать этот процесс. Гибридные диски Поэтому я просто объединил поддержку 3.10 и 3.11 в единый гибридный ISO. Причина этого заключается в том, что разные смещения в файле IFO повреждают разные смещения в памяти, а вещи, которые мы искажаем, например, fpIndexимеют разные смещения в разных версиях, поэтому мы можем устанавливать разные значения.
Однако на самом деле это даже лучше, чем это, потому что помните, как мы currentDiscBytePointerсначала повредили в переполнении? Это означает, что до тех пор, пока currentDiscBytePointerне будет совпадать ни в одной версии прошивки, мы можем перенести повреждение в другое место, чтобы гарантировать, что ни одна из наших вещей из разных эксплойтов в IFO не перекрывается. Это дает нам хороший шанс, что мы можем потенциально использовать все прошивки на одном диске; время покажет, если это так. Вывод Мне удалось использовать DVD-плеер PlayStation 2, чтобы я мог запускать свои собственные записанные домашние диски, просто вставляя их и загружаясь, так же, как вы запускаете официальный диск.
Хотя я эксплуатировал только версию 3.10E, так как это версия на консоли, которой я владею, это довольно поздняя версия (3.11J была последней выпущенной версией), и поэтому я уверен, что все другие версии также содержат эти же тривиальные переполнения буфера при разборе IFO. Если это окажется трудным для использования в других версиях прошивки, я также уверен, что, возможно, существуют более общие уязвимости, такие как переполнение буфера стека, если вы обращаетесь глубже, в конце концов, я только дошел до обратного инжиниринга первоначального анализа IFO прежде чем я обнаружил достаточно уязвимостей для моего эксплойта. Я надеюсь, что эта статья и эти демонстрации вдохновят других на то, чтобы взломать версии микропрограмм их собственных консолей и поделиться своими методами в централизованном репо для сообщества.
Идея загрузки дисков без взаимодействия с пользователем была чрезвычайно привлекательной для меня, но если вместо этого вы цените наличие одного диска с совместимостью с несколькими различными версиями прошивки, возможно, будет возможно создать DVD-видео, которое начинается с меню DVD, где вы выбираете ваша версия, и он воспроизводит другое видео, которое запускает другой эксплойт, в зависимости от выбора пользователя.
В заключение, на самом деле нет никакой причины, по которой этот общий сценарий атаки является специфическим для PlayStation 2, поскольку все поколения поддерживают некоторую комбинацию записанных носителей: от поддержки CD в PlayStation 1 до поддержки Blu-ray в PlayStation 3 и 4 с PlayStation 4 только убрав поддержку CD. Взлом PS4 с помощью Blu-ray BD-J уже давно обсуждается как идея для точки входа. Это может быть чем-то, что мне было бы интересно изучить для долгосрочного будущего проекта: представьте себе возможность записывать свои собственные игры для PlayStation для всех поколений; 1 вниз, 3 идти ...
С благодарностью krHacken, uyjulian, 'Howling Wolf & Chelsea' и ffgriver.
по теме - https://www.youtube.com/watch?v=_E_R8od6zdU
|
|
10522
Стаж: 13 лет 9 месяцев Сообщений: 578
|
10522 ·
08-Авг-20 23:55
(спустя 3 часа)
SquareFun
Было бы намного полезнее не писать эту техническую инфу, а написать инструкцию отсюда (лучше в отдельной теме). Там пишут, что нужно записать специальный образ на DVD болванку, поставить английский язык на приставке и вставить записанный диск. После этого запустится uLaunchELF, далее можно установить FreeMCBoot или Fortuna (если версия приставки начинается на 9000, про фортуну тоже лучше отдельную тему сделать), после этого записанный диск уже не нужен, далее можно установить OPL (лучше всего последнюю daily build версию, там POPS встроен и ролики по USB не тормозят) и играть в большинство PS2 и PS1 игр без дисков на любой нечипованной слимке. Если PS2 игра не работает на OPL, тогда используем FreeDVDBoot ESR Patcher и запускаем PS2 игру с диска. По сути, для слимки чип уже не нужен, он нужен только для фаток и PS1 игр с диска.
|
|
|