Logic-Sunrise : actualités, téléchargements, releases, dossiers et tutoriaux

Comme je vous l'annoncez il y a quelques jours, dans le cadre du 34C3 cette année nous avons droit à une conférence hack concernant la Nintendo Switch.

 

Vous pourrez suivre la conférence directement en streaming ici:

http://streaming.media.ccc.de/34c3/halla#schedule

 

Les explications qui vont être données ne déboucheront pas forcément sur un hack mais permettrons de comprendre un peu plus les sécurités de la console.

 

 

Rendez-vous à 19h45 le 28/12 pour une heure de conférence sur la sécurité de la console

  Que se passe-t-il si un périphérique sécurisé a un format crashdump visible ? Et si ce même périphérique permettait de mettre de la mémoire arbitraire dans le crashdump ? Étonnamment, la PlayStation 4 prend en charge ces deux fonctionnalités, et c'est la Team fail0verflow qui nous en informe !         Deux parties, le crashdump et le lancement de code arbitraire dans la mémoire !   Crashdumps sur PS4   L'infrastructure de gestion dr crash dans le kernel ps4 est intéressante pour 2 raisons :   - C'est un code spécifique à la PS4 (susceptible d'être bogué) - Si le crashdump peut être décodé, nous obtiendrons des informations très utiles pour trouver des bogues et créer des exploits fiables     Sur un système FreeBSD normal, une panique du kernel créera une sauvegarde en appelant kern_reboot avec l'indicateur RB_DUMP. Cela conduit alors à l'appel de doadump, qui va déverser une quantité plutôt minime d'informations sur l'image du kernel elle-même sur un périphérique de stockage.   Sur la PlayStation 4, le remplacement de doadump est mdbg_run_dump, qui peut être appelé dès la panique ou directement depuis trap_fatal. La quantité d'informations stockées dans la sauvegarde est gigantesque - l'état du kernel pour tous les objets process, thread et vm sont inclus, ainsi que des métadonnées sur les bibliothèques chargées.    D'autres changements évidents de la méthode FreeBSD à la vanille sont que le mdbg_run_dump code les données enregistrées dans la sauvegarde, champ par champ, et crypte en plus le tampon résultant avant de le stocker sur le disque.           Dumper n'importe quoi   La Team fail0verflow explique qu'il est possible d'utiliser sur une partie spéciale de mdbg_run_dump où sont gérés tous les threads du processus et essaie de vider l'état de pthread.     dumpstate est un tampon temporaire qui finira par arriver dans le crashdump. Pour résumer, sysdump__internal_call_readuser peut être configuré pour fonctionner comme un oracle accessible en lecture. Ceci est dû au fait que fsbase pointera vers l'espace d'adresse usermode de notre processus webkit.    Ainsi, même sans changer la valeur fsbase réelle, nous pouvons changer librement la valeur de tcb_thread, qui est stockée à fsbase + 0x10.   De plus, sysdump__internal_call_readuser lira heureusement à partir d'une adresse de kernel et placera le résultat dans la sauvegarde.   Nous pouvons maintenant placer n'importe quel emplacement du kernel dans le dump, mais nous devons encore le déchiffrer et le décoder...   En dehors de cela, il y a aussi le problème que nous pouvons seulement ajouter 0x10 octets par thread de cette manière ...   La Team explique après ce que sont le Crypto Crashdump, Crashdump Décodage et le Crashdump Automation en disant que les clés sont les mêmes depuis le firmware 1.01, et que la limité de 0x10 octets n'a qu'une limite de 600 threads ! 600 threads en même temps avant que le processus du navigateur ne se bloque, ou refuse de faire plus de threads.   Avec une telle capacité, l'automatisation des processus est simplifiée, il est alors possible avec une modification matérielle de la commutation d'alimentation de la ps4 au réseau et simuler l'entrée de la ps4 avec l'API gadget usb de Linux, d'aller lire les processus.   Ces problèmes sécuritaires liés aux clés ont été corrigés avec le firmware 4.50, la méthode de génération des clés crashdumps a été modifiée par une reconnaissance d'une clé asymétrique afin de déchiffrer le contenu du dump.   Le processus reste long, juste pour dumper via cette méthode il faut pas moins de 6 jours, cette analyse est une nouvelle fois très intéressante, peut être un moyen de faire une nouvelle fois progresser les recherches sur des firmwares plus récent que le 4.05 par exemple.     Tout est là : ps4-crashdump-dump  

Le développeur Specter vient de mettre en ligne son exploit PlayStation 4 sous firmware 4.05. A l'origine cet exploit s'appuie sur une publication de la Team Failowerflow, et sur l'exploit Webkit 4.05 de qwertyoruiopz, Specter s'étend chargé de l'implémentation de l'objet exploitable.           Dans ce projet, vous trouverez une implémentation complète de l'exploit noyau "namedobj" pour la PlayStation 4 sur firmware 4.05. Il vous permettra d'exécuter du code arbitraire dans le kernel, afin d'autoriser les modifications au niveau du kernel et du jailbreak dans le système.    Cette version, cependant, ne contient aucun code lié au lancement de jeux ou d'exécution d'homebrew. Cet exploit inclut un loader lit les payloads sur le port 9020 et les exécute lors de la réception.   Les détails de l'implémentation seront publiés dans les prochains jours, à priori il est possible de porter l'exploit sur les firmwares inférieurs.       

 

Les patches inclus les correctifs suivants sont faits par défaut dans la chaîne ROP du kernel :   - Désactivation de la protection d'écriture du noyau - Autorisation du mappage de la mémoire RWX (lecture-écriture-exécution) - Résolution dynamique (sys_dynlib_dlsym) autorisée à partir de n'importe quel processus - System call personnalisé # 11 (kexec ()) pour exécuter du code arbitraire en mode kernel - Autorisation pour les utilisateurs non privilégiés à appeler setuid (0) avec succès. Fonctionne comme une vérification d'état, et comme des privilèges.

 

 

Remarques de Specter :    Cet exploit est en réalité incroyablement stable à environ 95% dans mes tests. Le WebKit (navigateur) plante très rarement et il en va de même avec le kernel. J'ai intégré un correctif pour que l'exploitation du kernel ne soit exécutée qu'une seule fois sur le système. Vous pouvez toujours créer des correctifs supplémentaires via des payloads.   Un syscall personnalisé est ajouté (# 11) pour exécuter n'importe quelle mémoire RWX via le kernel, ceci peut être utilisé pour exécuter des payloads qui veulent faire des choses amusantes comme jailbreaking et patcher kernel.   Un SDK n'est pas fourni dans cette version, cependant, un barebone avec lequel commencer peut être publié à une date ultérieure.   J'ai publié un exemple de payload ici qui va faire les correctifs nécessaires pour accéder au menu de débogage du système via les paramètres, jailbreaks, et sortir de la sandbox.   Impressionnant ! 

 

    Tout est là : github.com/Cryptogenic/PS4-4.05-Kernel-Exploit     Il tient à remercier les développeurs   :     qwertyoruiopz Flatz CTurt Anonymous     Edit : Flatz va rétroporter des outils du 4.55 vers le 4.05.      Attention, ne mettez pas à jour en 4.05 si vous êtes sur un firmware inférieur, la plupart des développeurs affirment vouloir porter l'exploit sur des firmwares inférieurs ! Pas de précipitation, sur les firmwares plus anciens le lancement ou la stabilité de l'exploit pourraient être meilleurs...            Pour le moment aucun payload ne permet de lancer des jeux, le seul disponible permet de lancer les debug settings.   

Voilà avec quelques heures de retard débarquent enfin les ReStore et ReNpDrm, deux plugins proposés en open-bêta par CelesteBlue à destination des PlayStation Vita sous 3.60 et sous Enso ou HENkaku. Le but de ces plug-ins est de restaurer le PlayStation Store et d'activer sa console hackée pour profiter des contenus, des jeux ou des utilitaires téléchargés/achetés sur le PSN auparavant.             Les deux plugins sont :   ReStore.suprx Ce plugin user (suprx) va se charger de rétablir l’activation du système depuis les « Paramètres » et ainsi de profiter des téléchargements depuis le PlayStation Store.     ReNpDrm.skprx Ce plugin kernel (skprx) va vous permettre de profiter d'une fausse licence « act.dat » installée avec ReStore. Il permet donc d'activer des consoles qui n'ont jamais été activées, ou désactivées pour reprofiter des jeux téléchargés, de réaliser des backups de jeux PSP, PS1, Vita et PS3 et de reprofiter du PSN.     Ne rêvez pas non plus, cela ne vous permettra pas d'utiliser de jeux nécessitant des clés supérieures au firmware 3.60, ou de télécharger un jeu illégalement tiré du store.      NB : A manipuler avec précautions...      Tutoriel   Après avoir placé les fichiers, il faut éditer le fichier ux0:tai/config.txt   Sous la ligne « *KERNEL » ajoutez en dessous ur0:tai/renpdrm.skprx   A la ligne « *ALL » ajoutez en dessous ur0:tai/restore.suprx   Comme le signale Nepto, il faut supprimer ou désactiver NoNpDrm dans le config.txt, et supprimer le ID.DAT pour le réinitialiser. Il faut aussi créer le dossier data/rif et redémarrer la console. 

 

  Téléchargement (Beta v3) : renpdrm.customprotocol.com/release_page.php  

Notre ami sunriseur Spycos23 nous informe de la disponibilité de RetroArch dans sa version stable v1.7. La Team LibRetro a diffusé hier à l'occasion de Noël la toute nouvelle mouture de l'émulateur multiplate-forme, un bien beau cadeau qui est arrivé à l'heure.                   Les changements de cette version sont aussi nombreux que le nombre de cadeaux dans la hôte du père-noel le 24 décembre au moment de l'apéritif ou quand vous commencez à manger des huîtres, une liste longue comme le bras qui confirme une nouvelle fois la suprématie de la Team LibRetro en la matière.   L'équipe de développement vous souhaitant d'excellentes fêtes de fin d'année, vous invite à découvrir le changelog, qui fait état notamment de l'intégration du support de Bliss-box 4-Play, de celle des badges, de l'amélioration du support des pistolets virtuels comme les Wiimote,  de celui de Windows 95/Windows 98 (non-SE), du retour des portages PSP et Wii U, ainsi que l'amélioration de celui de la PS3.         Voici à titre d'exemple la liste des changements uniquement pour la version PS3 :    - Téléchargements maintenant fonctionnent - Netplay fonctionne maintenant.  - Vous pouvez faire un netplay entre deux PS3, ou avec un autre système qui est aussi de l'architecture big-endian. Par exemple - netplay entre RetroArch PS3 et RetroArch Wii U fonctionne. NOTE: Il peut toujours y avoir du code spécifique à l'endian dans certains cores qui peut causer des bogues. - Content Downloader fonctionne. Vous pouvez télécharger de nombreuses démos et des hombrews freeware. - Thumbnail Downloader fonctionne. Vous pouvez télécharger des boxarts et des titres / snaps pour vos jeux d'ici. - Core Updater fonctionne. Désormais, vous pouvez directement télécharger des cores fraîchement mis à jour directement via Core Updater intégré. De nouveaux cores seront ajoutés au fil du temps, et surtout, vous n'avez pas besoin d'installer une nouvelle version de RetroArch pour les obtenir. - Amélioration du rendu des polices dans le menu. Les langues non-occidentales sont maintenant également supportées par ce rendu de police amélioré, y compris le japonais, le coréen, le chinois, le russe...   Le changelog général quand à lui se trouve ici, il est tellement long, que nous ne préférons pas le rajouter, nous ne voulons pas vous causer une indigestion.     L'intégralité du Changelog v1.7.0    Téléchargement : RetroArch v1.7.0   Merci Spycos23

Alors que nous attendions tous la sortie du plugin ReNpDrm, Celesteblue a mis en ligne, via son compte Twitter, Storage Manager dans sa version v1.0, le retard dans la diffusion de ReNpDrm semble lié à un problème de fournisseur d'accès internet ou d'hébergeur ( il annonce avoir un problème de Freewifi ).               En attendant, le développeur a publié un tout nouveau plugin Storage Manager qui est distribué en version v1.0 et qui va vous permettre de gérer les emplacement de mémoire ux0, ur0 ou uma0 en allant modifier le fichier txt présent dans l'emplacement ur0:tai/storage_config.txt .   L'idée est sympathique, vous pouvez attribuer une partition ur0 ux0 gro0 grw0 xmc0 umA avec soit une SD2Vita (Gcd) soit une carte mémoire Sony (Mcd). Espérons désormais qu'il puisse rapidement proposer son plugin ReNpDrm attendu par de nombreux utilisateurs de PlayStation Vita.     Tutoriel d'utilisation :    - Téléchargez le fichier - Insérez les 2 fichiers (storagemgr.skprx et storage_config.txt) dans le chemin d'accès: ur0:tai - Editer le fichier config.txt en ux0 en entrant la chaîne ci-dessous   *KERNEL ur0:tai/storagemgr.skprx   - Redémarrer la console     Téléchargement : Storage Manager v1.0      

Noël est là, et avec lui effervescence de l'ouverture des cadeaux et autres craintes face à l'homme barbu qu'il soit porteur d'une hôte ou d'une crosse, mais ce que certains d'entre vous attendent est surtout des nouvelles de Specter et de son futur hack sous PlayStation 4 sous firmware 4.05.         C'est ainsi que nous apprenons que l'expoit 4.05 de Specter sera une page qui permettra de charger des payloads que vous allez envoyer, l'exploit qui sera releaser sera une sorte de petit jailbreak qui sera livré avec un correctif du debug menu pour lancer les payloads.         De plus, Specter annonce que son exploit se base également sur un binloader, et que les modders peuvent s'amuser avec le jeu une fois qu'il est lancé.   Selon Specter, l'exploit devrait être proche de son finalisation dans les prochains jours, même s'il n'est pas encore question de release car il s'est lancé dans le développement d'un jeu.     Source : Discord et HydrogenNGU  

Nintendo offre également à la scène Nintendo Switch son cadeau de Noël en retirant le jeu de Golf qui rendait hommage à  Satoru Iwata de la Switch. En Septembre dernier, le jeu Golf NES avait été révélé suite à l'utilisation d'un geste spécifique.   Le titre avait été programmé par l'idole lors de son arrivée chez Nintendo, il ne pouvait être lancé qu'à la date d'anniversaire avec les joycons.         ScireM vient de confirmer que le firmware 4.0.0 va carrément supprimé le jeu de Golf de la console, enfin ce sont les API qui sont bloquées, ce qui rend impossible son lancement.   Ce jeu pourrait peut être être un point d'entrée pour du hack, et cela Nintendo ne peut pas le cautionner, ou même remplacer le jeu de Golf.           Autre information, mais de la part de Plutoo qui nous confirme que le firmware 4.0.0 rajoute des objets JIT dans le kernel, ce qui signifie que la gestion de la mémoire, et que les futures innovations de la console, comme les consoles virtuelles, nécessiteront cette nouvelle architecture, et donc elles ne pourront se faire uniquement sur le firmware 4.0.0 ou supérieur. Joyeux Noël !  

Le développeur Bigboss (Psxdev) vient d'offrir à la scène PlayStation 4 un cadeau de Noël que l'on découvre depuis des mois, son émulateur fMSX.   Il faut avouer que cela fait des semaines qu'il fait rêver ceux qui disposent d'une PlayStation 4 sous firmware 1.76 avec de nombreuses images, vidéos et démonstrations de son émulateur.           Voilà le grand jour est donc arrivé pour BigBoss et tout ceux qui attendaient cela.   fMSX est un émulateur réalisé par Marat Fayzullin, il n'est pas open source et ne permet pas l'utilisation commerciale mais il est facile de le porter sur de nombreux appareils.               Vous pouvez obtenir toutes les informations à ce sujet ici.     Le développeur explique comment compiler, et que l'émulateur supporte les plates-formes MSX, MSX2 et MSX2+ en PAL ou NTSC.     Tout est là : Emulateur fMSX PS4 1.76  

La scène 3DS fait une nouvelle fois le chantre d'une grande évolution, les développeurs Derrek, profi200, d0k3, avec l'aide Smealum, viennent de publier la toute première version bêta de Fastboot3DS.   Fastboot3DS est le dernier cadeau de la scène 3DS, il s'agit d'un nouveau bootloader pour la console portable de Nintendo, conçu pour être installé sur la partition FIRM0.                 Vous l'avez compris, Fastboot3DS va s'installer sur une partition importante de votre console, la partition système qui assure le fonctionnement de votre console.   En fait Fastboot3DS permet d'assigner des homebrews au format .firm et de charger des boots à travers un menu boot ou une combinaison de boutons de votre choix. Ce nouveau hack contient également des outils pour réaliser des sauvegardes et des restaurations NAND.    

 

 

Attention, Fastboot est encore en Bêta, la plupart des logiciels comme GodMode9, CakeFW ou encore les TWL_FIRM / AGB_FIRM ne fonctionnent pas encore. 

 

 

Quick start guide These short instructions require you to have a way of booting OpenFirmInstaller. If you already have boot9strap installed, this is as simple as chainloading the OpenFirmInstaller.firm (either via some chainloader of your choosing, or put it on your SD card as sdmc:/boot.firm).   Have fastboot3DS.firm inside the sdmc:/ofifolder on your SD card. When installing from A9LH, secret_sector.bin is also required. Boot OpenFirmInstaller and follow the on screen instructions. You will reboot to the fastboot3DS menu. [optional] Enter Boot setup... -> Setup [slot 1]... -> Select [slot 1] firm and select the FIRM file of your main CFW. On typical systems that is smdc:/boot.firm, but anything goes. [optional] Enter Boot setup... -> Change boot mode... -> Set quiet boot. Your system is now set to autoboot and will silently boot the CFW you selected above. You may also want to set up the other boot slots and assign key combos to them. Keep in mind you need one autoboot slot (= a slot with no key combo assigned). If you want to access the fastboot3DS menu at a later point in time, hold the HOME button when powering on the console. From the fastboot3DS menu, you may continue the boot process via Continue boot, chainload a .firm file via Boot from file..., access the boot menu via Boot menu... or power off the console via the POWER button.   How to build To compile fastboot3DS you need devkitARM, CTR firm builder and splashtool installed in your system. Also make sure the CTR firm builder and splashtool binaries are in your $PATH environment variable and accessible to the Makefile. Build fastboot3DS as debug build via make or as release build via make release.  

 

 

 

 

  Téléchargement et instructions  : fastboot3DS     Merci dav11021971

  Le développeur Specter continue de travailler sur son exploit sur PlayStation 4 sous firmware 4.05.     Comme vous le savez probablement, il aurait réussi à implémenter le fameux objet exploitable découvert lors de l'officialisation de la Team Failowerflow sur leur blog.       Il y a plusieurs étapes dans le processus du hack, la première est l'ouverture d'une faille webkit (du navigateur internet) qui permet de lancer l'objet exploitable puis de lancer les outils pour exploiter la chaîne ROP.           Jusqu'à présent, Specter était confronté à un gros problème, lorsque le hack était lancé, il fallait fermé le navigateur internet, et lorsqu'il demandé à le fermer, le hack résultait sur des messages d'erreurs conséquence directe d'une instabilité.            Cela semble être du passé, le développeur vient en effet d'annoncer avoir réussi à stabiliser la sortie du webkit dans la chaîne d'exploitation, les lancements des jeux va se bloquer au démarrage, mais au moins les payloads peuvent être exécutées avec une stabilité accrue.     Le lancement ne se fait pas encore de manière optimale, il va donc falloir encore patienter avant de profiter de ses travaux, et de profiter d'une éventuelle release publique.  

Comme chaque année le Chaos Communication Congress réuni des hackers des quatre coins du monde sur différents thèmes et notamment le hack console.

 

Cette année le congrès se réuni à Leipzig du 27 au 30 Décembre.

L'année dernière, du côté Nintendo, nous avions eu droit à une conférence sur la Nintendo 3DS animée par Derrek, Naehwert et Ned Williamson, où nous avions découvert les entrailles de la console et de nouveaux hacks étaient sortis quelques semaines plus tard comme SoundHax.

Cette année la conférence sera animée par Plutoo, Derrek et Naehwert , ils nous dévoilerons leurs avancées sur la toute dernière console de Nintendo, la Switch.

 

 

Cela ne veut pas dire que vous aurez un hack en sortant de cette conférence mais que vous allez en apprendre d'avantage sur ce système qui visiblement est très sécurisé:

 

 

Nintendo has a new console, and it's more secure than ever.

The Switch was released less than a year ago, and we've been all over it.

Nintendo has designed a custom OS that is one of the most secure we've ever seen, making the game harder than it has ever been before.

In this talk we will give an introduction to the unique software stack that powers the Switch, and share our progress in the challenge of breaking it. We will talk about the engineering that went into the console, and dive deep into the security concepts of the device.

The talk will be technical, but we aim to make it enjoyable also for non-technical audiences.

 

 

Rendez-vous le 28 Décembre à 20h00 salle Adams pour voir la conférence sur place ou en streaming sur le site du 34C3