Proyecto DAXPLOIT

[fidelcastro]

no esta el valor referido ni de una forma ni de otra

Pásame el fichero que le echo un vistazo.

ya te lo mando.

una cosa todo lo que consiga con esa descripcion $sp es el mismo valor aunque cambie el fichero verdad, por lo que si consiguiese cambiar $sp seria mejor, pues en ninguno de los dos crash tengo ese valor.

Mi no entender nada. Tú pásame ese fichero, anda...

ya me doy cuenta donde esta ese valor, soy un poco inutil lo reconozco.

una pregunta mas profe, que resulta mas interesante de estas, y alguna excepcion mas interesante para saber mas sobre esto

No entiendo la pregunta, mister.

na olvidalo, me referia a la exepciones, como syscall y demas

[m0skit0]

Ah, ok. Es que SCE_VSH_GRAPHICS no es una excepción, es el hilo que ha levantado la excepción. La excepción es lo que pone después de Exception.

[fidelcastro]

bueno quizás en este allá mas suerte, tengo ya buscada el $s0

Código: Seleccionar todo

hexworckshop:

005FB5A6 EC CE 58 EB B5 6B E2 00 80 33 D8 A8 A9 D9 C9 D1 91 B7 18 12 81 00 00..X..k...3.............
005FB5BD 18 C5 B9 58 35 78 20 0C 58 E4 F7 34 C2 57 80 C1 04 23 A0 E2 03 29 E5 ...X5x .X..4.W...#...).


PSPLINK:

host0:/> host0:/> host0:/> Loading all modules ... Ready
Exception - Address store
Thread ID - 0x053F714B
Th Name   - ScePafJob
Module ID - 0x053A3B3B
Mod Name  - sceFileParserBase_Module
EPC       - 0x0A0CA2FC
Cause     - 0x10000014
BadVAddr  - 0x8A7EE7F0
Status    - 0x00088613
zr:0x00000000 at:0xDEADBEEF v0:0x0A0CA2F8 v1:0x81000020
a0:0x08A982A0 a1:0x0000002B a2:0x81000018 a3:0x00000000
t0:0x0B7EE828 t1:0x00000000 t2:0xDEADBEEF t3:0xDEADBEEF
t4:0xDEADBEEF t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0x81000018 s1:0x0B7EE968 s2:0x0B7EEC44 s3:0x0B7EEA20
s4:0x0B7EE820 s5:0x00000001 s6:0x0000002B s7:0x00000000
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x0B7EED00 k1:0x00000000
gp:0x089AB020 sp:0x8A7EE7D0 fp:0x0B7EE820 ra:0x0A13466C
0x0A0CA2FC: 0xAFB00020 ' ...' - sw         $s0, 32($sp)

Es así verdad profe ,

[m0skit0]

quizás en este allá mas suerte

Haya

Es así verdad profe

Sí, eso es. Ahora prueba a modificar ese valor a ver si cambia $s0.

[fidelcastro]

no cambia nada

[m0skit0]

Tan detallista como siempre, me encanta

[fidelcastro]

perdona profe, no podia ponerlo en ese momento, aqui esta el link con el cambio de datos, espero me perdones

Código: Seleccionar todo

host0:/>  Exception - Address store
Thread ID - 0x053F714F
Th Name   - ScePafJob
Module ID - 0x053A3B3D
Mod Name  - sceFileParserBase_Module
EPC       - 0x0A0CA2FC
Cause     - 0x10000014
BadVAddr  - 0x8A7EE7F0
Status    - 0x00088613
zr:0x00000000 at:0xDEADBEEF v0:0x0A0CA2F8 v1:0x81000020
a0:0x08A9DB80 a1:0x0000002B a2:0x81000018 a3:0x00000000
t0:0x0B7EE828 t1:0x00000000 t2:0xDEADBEEF t3:0xDEADBEEF
t4:0xDEADBEEF t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0x81000018 s1:0x0B7EE968 s2:0x0B7EEC44 s3:0x0B7EEA20
s4:0x0B7EE820 s5:0x00000001 s6:0x0000002B s7:0x00000000
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x0B7EED00 k1:0x00000000
gp:0x089AB020 sp:0x8A7EE7D0 fp:0x0B7EE820 ra:0x0A13466C
0x0A0CA2FC: 0xAFB00020 ' ...' - sw         $s0, 32($sp)

[m0skit0]

Pero no me has puesto qué has cambiado ni a qué valor lo has cambiado

[fidelcastro]

bueno quizás en este allá mas suerte, tengo ya buscada el $s0

Código: Seleccionar todo

hexworckshop:

005FB5A6 EC CE 58 EB B5 6B E2 00 80 33 D8 A8 A9 D9 C9 D1 91 B7 18 12 81 00 00..X..k...3.............
005FB5BD 18 C5 B9 58 35 78 20 0C 58 E4 F7 34 C2 57 80 C1 04 23 A0 E2 03 29 E5 ...X5x .X..4.W...#...).


PSPLINK:

host0:/> host0:/> host0:/> Loading all modules ... Ready
Exception - Address store
Thread ID - 0x053F714B
Th Name   - ScePafJob
Module ID - 0x053A3B3B
Mod Name  - sceFileParserBase_Module
EPC       - 0x0A0CA2FC
Cause     - 0x10000014
BadVAddr  - 0x8A7EE7F0
Status    - 0x00088613
zr:0x00000000 at:0xDEADBEEF v0:0x0A0CA2F8 v1:0x81000020
a0:0x08A982A0 a1:0x0000002B a2:0x81000018 a3:0x00000000
t0:0x0B7EE828 t1:0x00000000 t2:0xDEADBEEF t3:0xDEADBEEF
t4:0xDEADBEEF t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0x81000018 s1:0x0B7EE968 s2:0x0B7EEC44 s3:0x0B7EEA20
s4:0x0B7EE820 s5:0x00000001 s6:0x0000002B s7:0x00000000
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x0B7EED00 k1:0x00000000
gp:0x089AB020 sp:0x8A7EE7D0 fp:0x0B7EE820 ra:0x0A13466C
0x0A0CA2FC: 0xAFB00020 ' ...' - sw         $s0, 32($sp)

Es así verdad profe ,

el que muestro aqui, aunque ya se que no esta bien.

perdona otra pregunta, me dices que es bueno el cambio en el BadAVddr, me explicas un poco eso.

[m0skit0]

el que muestro aqui

Hm, ¿te refieres a 0x81000018 en el offset 5FB5BA del fichero? ¿Cambiaste ese valor pero el valor de $s0 no se modificó? Para hablar con detalle siempre indica el offset concreto del fichero, así vamos directos al grano. Y como ya tengo tus ficheros, pues podemos ir viéndolos. Y por cierto, a ver si te veo el pelo en el IRC, que por ahí se charla bastante más a gusto

me dices que es bueno el cambio en el BadAVddr, me explicas un poco eso

Sí. A ver cómo me lo monto

Primero, es BadVAddr, no BadAVddr la V y luego la A, que lo escribes siempre mal, ¡andalú! Viene de Bad Virtual Address (Dirección Virtual Errónea).

Como comenté con anterioridad, BadVAddr no es ningún valor en concreto que realmente "exista". Es la dirección de memoria a la que se intentaba acceder cuando ha sucedido la excepción. Voy a intentar hacer unos esbozos mosquiteros para explicar el asunto.

Ésta es la situación justo antes de ocurrir la excepción:



En este momento se está ejecutando un hilo llamado ScePafJob sobre el código del módulo sceFileParserBase_Module, que es flash0:/vsh/module/file_parser_base.prx. Y justo va a ejecutar la instrucción que se encuentra en la dirección 0x0A0CA2FC, que es 0xAFB00020, o lo que es lo mismo, sw $s0, 32($sp).

Entonces la instrucción sw $s0, 32($sp) indica que hay que guardar (sw = store word, guarda palabra) el contenido del registro $s0, que es 0x81000018 como nos indica PSPLINK, en la dirección que contiene $sp (0x8A7EE7D0) + 32, esto es:



Como ves, y como ya te he comentado anteriormente (si es que lo has leído), el valor que modificamos es el de $sp, BadVAddr es un valor "inexistente", virtual si quieres llamarlo de alguna forma. Por tanto si podemos llegar a controlar qué valor ponemos en $sp, podremos utilizar la dirección que mejor nos convenga.

Siguiendo con el tema, al intentar escribir en la dirección 0x8A7EE7F0, el procesador de la PSP dice "pues va a ser que no", ya que no es una dirección válida, y genera una excepción, y PSPLINK la muestra en pantalla:

Spoiler:

Espero que esto os haya servido, porque yo he aprendido a usar un poco Inkscape (pero no mucho ).

Saludos y ánimo, camarada