Le développeur McCaulay Hudson vient de finir la rédaction de son troisième article sur l' exploit mast1c0re. De tout ce qu'il a pu proposer jusqu'alors, il s'agit de l'article le plus long et le plus détaillé sur le sujet.
Influencé par CTurtE grâce à son blog mast1c0re : Hacking the PS4/PS5 through the PS2 Emulator, cette vulnérabilité date de 2021.
Pour information et contrairement à ce qu'il avait dit, il s'agit du dernier article à ce sujet, du moins pour l'instant. Nous avons commencé cette série d'articles de blog en explorant comment modifier les fichiers de sauvegarde de jeu pour la PlayStation 2, et plus précisément modifier la sauvegarde de jeu pour Okage : Shadow King en calculant la valeur CRC.
Ensuite, nous avons développé un débordement de tampon typique, sans protection, pour la PlayStation 2, en ciblant spécifiquement le nom du profil de sauvegarde du jeu. Nous avons développé cet exploit en écrivant une petite quantité de shellcode assembleur personnalisé pour charger un ELF PlayStation 2 en mémoire et l'exécuter.
Enfin, nous avons exploité un débordement hors limites dans l'émulateur de la PlayStation, ce qui nous a permis d'écrire dans la mémoire à un décalage relatif au-delà des données du débordement. En utilisant cette primitive d'écriture, nous avons écrasé un gestionnaire de lecture d'entrée/sortie afin d'exécuter des gadgets et de contourner l'ASLR. Ensuite, nous avons réécrit un gestionnaire d'écriture d'entrée/sortie afin de mettre en place la chaîne ROP. Enfin, après avoir écrit un grand nombre de petites fonctions d'aide pour construire dynamiquement une chaîne ROP, nous sommes en mesure d'exécuter n'importe quelle fonction ou appel système dans les mappages de la mémoire exécutable PlayStation native.
Quelle est la suite ? C'est à vous de décider !
D'autres développeurs peuvent utiliser ce projet pour mettre en oeuvre des exploits kernel sur toutes les versions de firmware qui ont un exploit kernel fonctionnel, ce qui permettrait d'exécuter des homebrews sur ces versions de firmware sur la PlayStation 4. Pour la PlayStation 5, un exploit kernel permettrait aux utilisateurs d'obtenir la même fonctionnalité que d'autres vulnérabilités telles qu'un exploit webkit, qui est actuellement limité à l'activation des debug settings.
Le projet mast1c0re complet permettant de créer des charges utiles personnalisées pour la PlayStation 4 et la PlayStation 5 se trouve à l'adresse McCaulay/mast1c0re.
Un grand merci à CTurtE pour la recherche initiale avec l'aide de flatz, balika011, theflow0, chicken(s).
Tout est là : mast1c0re-part-3-escaping-the-emulator
