Proyecto DAXPLOIT

Moderadores: Kravenbcn, largeroliker, fidelcastro, cerealkiller, pspCaracas, dark_sasuke, m0skit0, LnD, ka69, zacky06

Avatar de Usuario
fidelcastro
Moderador Global
Moderador Global
Mensajes: 2471
Registrado: 04 Sep 2009, 18:49

Re: Proyecto DAXPLOIT

Mensaje por fidelcastro »

in spanish please ;)

bien os dejo con mi ultimo trabajo, se controla $a0, y $a1 parcialmente, ademas de $t1, 2, 3 y 4, me guardo el resto, por razones obvias, que el gran hermano vigila y ahora mas.

Código: Seleccionar todo

host0:/> Loading all modules ... Ready
Exception - Address load/inst fetch
Thread ID - 0x052F1D39
Th Name   - ScePafJob
Module ID - 0x052F5059
Mod Name  -
EPC       - 0x0A0B1F44
Cause     - 0x10000010
BadVAddr  - 0x882CAA2E
Status    - 0x00088613
zr:0x00000000 at:0xDEADBEEF v0:0x882CAA2E v1:0x08AD2AAF
a0:0x7F7F7F7F a1:0x00000045 a2:0x00000000 a3:0x00000000
t0:0x00000010 t1:0x00420042 t2:0x00420042 t3:0x00420042
t4:0x00420042 t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0x08AD2998 s1:0x0B7EE950 s2:0x0B7EE954 s3:0x0B7EEBE0
s4:0x0B7EEC40 s5:0xDEADBEEF s6:0xDEADBEEF s7:0xDEADBEEF
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x0B7EED00 k1:0x00000000
gp:0x089AB020 sp:0x0B7EE730 fp:0x0B7EECB0 ra:0x0A0B1F30
0x0A0B1F44: 0x80430000 '..C.' - lb         $v1, 0($v0)
disasm 0x0a0b1f00 60
0x0A0B1F00: 0x24020003 '...$' - li         $v0, 3
0x0A0B1F04: 0x10620008 '..b.' - beq        $v1, $v0, 0x0A0B1F28
0x0A0B1F08: 0x00000000 '....' - nop
0x0A0B1F0C: 0x8FBF000C '....' - lw         $ra, 12($sp)
0x0A0B1F10: 0x8FB20008 '....' - lw         $s2, 8($sp)
0x0A0B1F14: 0x8FB10004 '....' - lw         $s1, 4($sp)
0x0A0B1F18: 0x8FB00000 '....' - lw         $s0, 0($sp)
0x0A0B1F1C: 0x00C01021 '!...' - move       $v0, $a2
0x0A0B1F20: 0x03E00008 '....' - jr         $ra
0x0A0B1F24: 0x27BD0010 '...'' - addiu      $sp, $sp, 16
0x0A0B1F28: 0x0E82C6DB '....' - jal        0x0A0B1B6C
0x0A0B1F2C: 0x8E050008 '....' - lw         $a1, 8($s0)
0x0A0B1F30: 0xAE220000 '..".' - sw         $v0, 0($s1)
0x0A0B1F34: 0x1040FFF5 '..@.' - beqz       $v0, 0x0A0B1F0C
0x0A0B1F38: 0x00003021 '!0..' - move       $a2, $zr
0x0A0B1F3C: 0x8E04000C '....' - lw         $a0, 12($s0)
0x0A0B1F40: 0x00441021 '!.D.' - addu       $v0, $v0, $a0
0x0A0B1F44: 0x80430000 '..C.' - lb         $v1, 0($v0)
0x0A0B1F48: 0x1460FFF1 '..`.' - bnez       $v1, 0x0A0B1F10
0x0A0B1F4C: 0x8FBF000C '....' - lw         $ra, 12($sp)
0x0A0B1F50: 0xAE440000 '..D.' - sw         $a0, 0($s2)
0x0A0B1F54: 0x0A82C7C4 '....' - j          0x0A0B1F10
0x0A0B1F58: 0x24060001 '...$' - li         $a2, 1
0x0A0B1F5C: 0x27BDFFE0 '...'' - addiu      $sp, $sp, -32
0x0A0B1F60: 0xAFB00010 '....' - sw         $s0, 16($sp)
Imagen

La verdad os hará libres (Juan 8:32). Y la mentira creyentes.

Avatar de Usuario
Dark_Miguel
Desarrollador
Desarrollador
Mensajes: 63
Registrado: 12 May 2010, 22:26
PSN ID: Ninguna, pronto me creo una....
Ubicación: Spain, Andalucía. Jaén
Contactar:

Re: Proyecto DAXPLOIT

Mensaje por Dark_Miguel »

Vamos fidel!! a ver que sale de esto!! ^^
Imagen

Avatar de Usuario
m0skit0
Administrador
Administrador
Mensajes: 5585
Registrado: 03 Sep 2009, 09:35
Ubicación: 0xdeadbeef

Re: Proyecto DAXPLOIT

Mensaje por m0skit0 »

Personalmente agradecería que no posteéis mensajes sin ningún contenido útil, sólo rellenais el hilo de basura que hace que luego buscar información sea un dolor.
Imagen

Avatar de Usuario
fidelcastro
Moderador Global
Moderador Global
Mensajes: 2471
Registrado: 04 Sep 2009, 18:49

Re: Proyecto DAXPLOIT

Mensaje por fidelcastro »

bien os cuento un poco, $a0 maneja el valor en $v0 y $v1, quizas si consigo influir en $a2 pueda llegar a controlar $v0, aunque si consigo influir en $a2 cambia la excepcion, pasando a controlar $a1 y parcialmente $a2 y $a3.

Código: Seleccionar todo

host0:/> Exception - Bus error (data)
Thread ID - 0x05433C77
Th Name   - ScePafJob
Module ID - 0x0534C41B
Mod Name  -
EPC       - 0x0A0B20D8
Cause     - 0x1000001C
BadVAddr  - 0x8BE61711
Status    - 0x20088613
zr:0x00000000 at:0x3F800000 v0:0x00000000 v1:0x00000000
a0:0x0B7EEB40 a1:0x44444444 a2:0x00000069 a3:0xFFFFFFFF
t0:0x0B7EEBC4 t1:0x089AA960 t2:0x08AC7B98 t3:0x00000020
t4:0x00000000 t5:0x089AA988 t6:0x00000000 t7:0x00000000
s0:0x00000006 s1:0x0B7EEBB0 s2:0x00000006 s3:0x00000050
s4:0x0A0B6D64 s5:0x08AC570C s6:0x0B7EE910 s7:0x0A0C0000
t8:0x08ACE2C0 t9:0x00000000 k0:0x0B7EED00 k1:0x00000000
gp:0x089AB320 sp:0x0B7EE8E0 fp:0x0B7EECB0 ra:0x0A0B20D8
0x0A0B20D8: 0x80460000 '..F.' - lb         $a2, 0($v0)
disasm 0x0a0b2000 60
0x0A0B2000: 0x02202021 '!  .' - move       $a0, $s1
0x0A0B2004: 0x02201021 '!. .' - move       $v0, $s1
0x0A0B2008: 0x8FBF000C '....' - lw         $ra, 12($sp)
0x0A0B200C: 0x8FB20008 '....' - lw         $s2, 8($sp)
0x0A0B2010: 0x8FB10004 '....' - lw         $s1, 4($sp)
0x0A0B2014: 0x8FB00000 '....' - lw         $s0, 0($sp)
0x0A0B2018: 0x03E00008 '....' - jr         $ra
0x0A0B201C: 0x27BD0010 '...'' - addiu      $sp, $sp, 16
0x0A0B2020: 0x0E82C7CB '....' - jal        0x0A0B1F2C
0x0A0B2024: 0x8E460014 '..F.' - lw         $a2, 20($s2)
0x0A0B2028: 0x0A82C802 '....' - j          0x0A0B2008
0x0A0B202C: 0x02201021 '!. .' - move       $v0, $s1
0x0A0B2030: 0x27BDFFF0 '...'' - addiu      $sp, $sp, -16
0x0A0B2034: 0xAFBF0000 '....' - sw         $ra, 0($sp)
0x0A0B2038: 0x00801821 '!...' - move       $v1, $a0
0x0A0B203C: 0x00001021 '!...' - move       $v0, $zr
0x0A0B2040: 0x8C850000 '....' - lw         $a1, 0($a0)
0x0A0B2044: 0x10A00006 '....' - beqz       $a1, 0x0A0B2060
0x0A0B2048: 0x00A02021 '! ..' - move       $a0, $a1
0x0A0B204C: 0x8CA2003C '<...' - lw         $v0, 60($a1)
0x0A0B2050: 0x8C630004 '..c.' - lw         $v1, 4($v1)
0x0A0B2054: 0x00431021 '!.C.' - addu       $v0, $v0, $v1
0x0A0B2058: 0x0E82C79B '....' - jal        0x0A0B1E6C
0x0A0B205C: 0x8C450000 '..E.' - lw         $a1, 0($v0)
0x0A0B2060: 0x8FBF0000 '....' - lw         $ra, 0($sp)
0x0A0B2064: 0x03E00008 '....' - jr         $ra
0x0A0B2068: 0x27BD0010 '...'' - addiu      $sp, $sp, 16
0x0A0B206C: 0x27BDFFD0 '...'' - addiu      $sp, $sp, -48
0x0A0B2070: 0xAFB60028 '(...' - sw         $s6, 40($sp)
0x0A0B2074: 0x00C0B021 '!...' - move       $s6, $a2
0x0A0B2078: 0xAFB40020 ' ...' - sw         $s4, 32($sp)
0x0A0B207C: 0xAFB10014 '....' - sw         $s1, 20($sp)
0x0A0B2080: 0x00808821 '!...' - move       $s1, $a0
0x0A0B2084: 0xAFBF002C ',...' - sw         $ra, 44($sp)
0x0A0B2088: 0xAFB50024 '$...' - sw         $s5, 36($sp)
0x0A0B208C: 0xAFB3001C '....' - sw         $s3, 28($sp)
0x0A0B2090: 0xAFB20018 '....' - sw         $s2, 24($sp)
0x0A0B2094: 0xAFB00010 '....' - sw         $s0, 16($sp)
0x0A0B2098: 0x8C840000 '....' - lw         $a0, 0($a0)
0x0A0B209C: 0x10800019 '....' - beqz       $a0, 0x0A0B2104
0x0A0B20A0: 0x00A0A021 '!...' - move       $s4, $a1
0x0A0B20A4: 0x8C82003C '<...' - lw         $v0, 60($a0)
0x0A0B20A8: 0x8E230004 '..#.' - lw         $v1, 4($s1)
0x0A0B20AC: 0x0043A821 '!.C.' - addu       $s5, $v0, $v1
0x0A0B20B0: 0x8EB20004 '....' - lw         $s2, 4($s5)
0x0A0B20B4: 0x1A400013 '..@.' - blez       $s2, 0x0A0B2104
0x0A0B20B8: 0x00008021 '!...' - move       $s0, $zr
0x0A0B20BC: 0x8C82003C '<...' - lw         $v0, 60($a0)
0x0A0B20C0: 0x00109900 '....' - sll        $s3, $s0, 4
0x0A0B20C4: 0x00731821 '!.s.' - addu       $v1, $v1, $s3
0x0A0B20C8: 0x00431021 '!.C.' - addu       $v0, $v0, $v1
0x0A0B20CC: 0x8C45001C '..E.' - lw         $a1, 28($v0)
0x0A0B20D0: 0x0E82C79B '....' - jal        0x0A0B1E6C
0x0A0B20D4: 0x26100001 '...&' - addiu      $s0, $s0, 1
0x0A0B20D8: 0x80460000 '..F.' - lb         $a2, 0($v0)
0x0A0B20DC: 0x82830000 '....' - lb         $v1, 0($s4)
0x0A0B20E0: 0x00402021 '! @.' - move       $a0, $v0
0x0A0B20E4: 0x10C30012 '....' - beq        $a2, $v1, 0x0A0B2130
0x0A0B20E8: 0x02802821 '!(..' - move       $a1, $s4
0x0A0B20EC: 0x0212102A '*...' - slt        $v0, $s0, $s2
Imagen

La verdad os hará libres (Juan 8:32). Y la mentira creyentes.

Avatar de Usuario
m0skit0
Administrador
Administrador
Mensajes: 5585
Registrado: 03 Sep 2009, 09:35
Ubicación: 0xdeadbeef

Re: Proyecto DAXPLOIT

Mensaje por m0skit0 »

Los controles parciales no sirven de nada (o muy muy raramente) como ya te comenté. Y en caso de poner desensamblados, ponlos lógicos. Aquí pones un montón de líneas antes de la excepción y sólo 5 de después. ¡Sé más equilibrado! ;)

Por cierto, este desensamblado no tiene pinta de ser muy útil, ya que en realidad el fallo está en la función que se ubica en 0x0A0B1E6C, que devuelve 0 (de ahí que $v0 = 0). Habría que desensamblar y reversas esa función.
Imagen

Avatar de Usuario
fidelcastro
Moderador Global
Moderador Global
Mensajes: 2471
Registrado: 04 Sep 2009, 18:49

Re: Proyecto DAXPLOIT

Mensaje por fidelcastro »

ok, una cosa, en $a3 solo cambie un 00 por un FF con el resultado de todo el registro en FF, en cuanto a el disasm tienes razon, lo equilibrare mas en la proxima ocasion.

y los parciales simplemente por resaltarlos, sobre todo en el ultimo, que es $a2, $v0, con lo que me a llevado a pensar que no es muy valido al no mover de 0 los valores en $v0, pero si en $a3
Imagen

La verdad os hará libres (Juan 8:32). Y la mentira creyentes.

Avatar de Usuario
LilDark
Habitual
Habitual
Mensajes: 327
Registrado: 08 Nov 2010, 03:13
PSN ID: Alighiero7

Re: Proyecto DAXPLOIT

Mensaje por LilDark »

mmm soy novato en todo esto. pero eh conceguido un crash en mi psp 3001 con firmware oficial 6.30. El Crash lo descubri Reproduciendo una cancion MP3. y luego abriendo una imagen JPG... Mi PSP Queda totalmente congelada y al cabo de unos 12-15 segundos se apaga totalmente. espero q esto sea un aporte q sirva este es mi correo borrado@porm0skit0.com. contactenme si esto sirve...

Avatar de Usuario
alejandro50082
Habitual
Habitual
Mensajes: 467
Registrado: 03 Sep 2009, 03:24
Ubicación: Guatemala

Re: Proyecto DAXPLOIT

Mensaje por alejandro50082 »

LilDark escribió:mmm soy novato en todo esto. pero eh conceguido un crash en mi psp 3001 con firmware oficial 6.30. El Crash lo descubri Reproduciendo una cancion MP3. y luego abriendo una imagen JPG... Mi PSP Queda totalmente congelada y al cabo de unos 12-15 segundos se apaga totalmente. espero q esto sea un aporte q sirva este es mi correo borrado@porm0skit0.com. contactenme si esto sirve...

No postees tu correo.. :roll:
Como no tenes CFW para poder utilizar PSPLINK mandale el fichero .mp3 m0skit0 o a a Fidel para que le pasen PSPLINK para poder ver si es util... ;)
PD: No se lo des a cualquiera... puede que sea útil... :D
Alejandro50082

Avatar de Usuario
dark_sasuke
Moderador Global
Moderador Global
Mensajes: 3379
Registrado: 03 Sep 2009, 02:13
Twitter: D4rkyt0

Re: Proyecto DAXPLOIT

Mensaje por dark_sasuke »

O a algun admin/mod del foro por MP ;)
Imagen

Avatar de Usuario
fidelcastro
Moderador Global
Moderador Global
Mensajes: 2471
Registrado: 04 Sep 2009, 18:49

Re: Proyecto DAXPLOIT

Mensaje por fidelcastro »

bueno parece que vamos bien, justo acabo de encontrarme con esto, aunque se puede ver que no tengo el control total sobre $a1, seguire con ello, no digo mas.

Código: Seleccionar todo

host0:/> Exception - Address store
Thread ID - 0x0539EC15
Th Name   -
Module ID - 0x051B255B
Mod Name  -
EPC       - 0x0895165C
Cause     - 0x10000014
BadVAddr  - 0xFF616169
Status    - 0x20088612
zr:0x00000000 at:0xDEADBEEF v0:0x00000000 v1:0x00000049
a0:0x0000001F a1:0xFF616161 a2:0x00051010 a3:0x00051010
t0:0x00000001 t1:0x089AC81C t2:0x08AF9268 t3:0x00000000
t4:0xDEADBEEF t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0xFF616160 s1:0x00051000 s2:0x097B2E28 s3:0x00000001
s4:0x00051020 s5:0x089AC7E0 s6:0x00000049 s7:0x08AF927C
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x0B7EED00 k1:0x00000000
gp:0x089AB220 sp:0x0B7EEA30 fp:0x08AF6DCC ra:0x08951AF8
0x0895165C: 0xACA90008 '....' - sw         $t1, 8($a1)
Imagen

La verdad os hará libres (Juan 8:32). Y la mentira creyentes.

Responder