Proyecto DAXPLOIT

[m0skit0]

Nah, déjalo, éste es más interesante, aunque sigue sin ser directamente explotable. Veamos a ver si podemos conseguir algo igualmente

En este caso has corrompido el valor del registro $sp. Si te fijas, la instrucción que falla es

Código: Seleccionar todo

sw $s0, 32($sp)

o lo que es lo mismo, guarda el contenido del registro $s0 en la dirección apuntada por $sp más 32, es decir, la dirección 0x867EE7B0 (que es justo lo que marca BadVAddr en la excepción). Pero como 0x867EE7B0 no es una dirección de memoria válida en PSP, entonces se cuelga.

Mira a ver si encuentras ese valor de $sp (0x867EE790) en el fichero MP3. Búscalo tanto en little-endian como en big-endian.

[fidelcastro]

Nah, déjalo, éste es más interesante, aunque sigue sin ser directamente explotable. Veamos a ver si podemos conseguir algo igualmente

En este caso has corrompido el valor del registro $sp. Si te fijas, la instrucción que falla es

Código: Seleccionar todo

sw $s0, 32($sp)

o lo que es lo mismo, guarda el contenido del registro $s0 en la dirección apuntada por $sp más 32, es decir, la dirección 0x867EE7B0 (que es justo lo que marca BadVAddr en la excepción). Pero como 0x867EE7B0 no es una dirección de memoria válida en PSP, entonces se cuelga.

Mira a ver si encuentras ese valor de $sp (0x867EE790) en el fichero MP3. Búscalo tanto en little-endian como en big-endian.

perdona la tardanza, pero veamos, en hexworkshop en el interior del fichero o en el offset, despacio profe, avanzo pero no tanto.

tambien te dejo otro fichero mp3 distinto al anterior, como me pediste, tambien con un crash.

Código: Seleccionar todo

host0:/> host0:/> Loading all modules ... Ready
Exception - Address store
Thread ID - 0x053F7147
Th Name   - ScePafJob
Module ID - 0x0530FA3B
Mod Name  - sceFileParserBase_Module
EPC       - 0x0A0CA3FC
Cause     - 0x10000014
BadVAddr  - 0x8B7EE7F0
Status    - 0x00088613
zr:0x00000000 at:0xDEADBEEF v0:0x0A0CA3F8 v1:0x80000020
a0:0x08A9DC90 a1:0x00000015 a2:0x8000001D a3:0x00000000
t0:0x0B7EE828 t1:0x00000000 t2:0xDEADBEEF t3:0xDEADBEEF
t4:0xDEADBEEF t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0x8000001D s1:0x0B7EE968 s2:0x0B7EEC44 s3:0x0B7EEA20
s4:0x0B7EE820 s5:0x00000001 s6:0x00000015 s7:0x00000000
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x0B7EED00 k1:0x00000000
gp:0x089AB120 sp:0x8B7EE7D0 fp:0x0B7EE820 ra:0x0A13476C
0x0A0CA3FC: 0xAFB00020 ' ...' - sw         $s0, 32($sp)

[m0skit0]

en hexworkshop en el interior del fichero

Eso

tambien te dejo otro fichero mp3 distinto al anterior, como me pediste, tambien con un crash.

¿Distinto? El crash es el mismo, sólo cambia el valor de $sp (lo cual es buen asunto ). Si te fijas la dirección del crash así como la instrucción es la misma

[fidelcastro]

si por eso, es otro fichero pero con el mismo crash, varia poca cosa, BadAVddr el valor es distinto si te fijas aunque a lo mejor no tiene nada que ver no?

[m0skit0]

BadAVddr el valor es distinto si te fijas aunque a lo mejor no tiene nada que ver no?

Evidentemente puesto que es lo que origina el crash. BadVAddr es la dirección de memoria a la que intenta acceder la CPU y como no existe, evidentemente hay un crash. Como he dicho anteriormente BadVAddr es el valor de $sp + 32 tal y como indica la instrucción que peta (32($sp)). El objetivo ahora es poder controlar el valor que se cuela en el registro $sp. Para ello hay que buscar el valor de $sp en el fichero que origina el cuelgue, ya que si aparece, entonces ya sabemos de dónde sale el valor y podemos modificarlo

[fidelcastro]

ok preofe, pues buscandolo, aunque hoy no me dara lugar a mucho, pero al modificar cada vez el valor es distinto, por lo que podemos buscar un valor valido en una de las ediciones no?

es que según edito de una forma o de otra cambia el error

Código: Seleccionar todo

host0:/> Loading all modules ... Ready
Exception - Syscall
Thread ID - 0x053F714D
Th Name   - ScePafJob
Module ID - 0x053A3B41
Mod Name  - sceFileParserBase_Module
EPC       - 0x0A0D1B90
Cause     - 0x90000020
BadVAddr  - 0x8B661791
Status    - 0x00088613
zr:0x00000000 at:0xDEADBEEF v0:0x053F3D59 v1:0xFFFFFFFF
a0:0x08A8C4A0 a1:0x00000015 a2:0x00000015 a3:0x00000000
t0:0x0B7EE828 t1:0x00000000 t2:0xDEADBEEF t3:0xDEADBEEF
t4:0x00000000 t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0x0B7EE828 s1:0x0B7EE968 s2:0x0B7EEC44 s3:0x0B7EEA20
s4:0x0B7EE820 s5:0x00000001 s6:0x00000015 s7:0x00000000
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x0B7EED00 k1:0x00000000
gp:0x089AB320 sp:0x767EE790 fp:0x0B7EE820 ra:0x0A13496C
0x0A0D1B90: 0x03E00008 '....' - jr         $ra

[DrNefarious]

profe y ¿¿¿como podriamos ayudar los demas??? yo quiero tambn hacer algo, ahora que hay muxo time libre

[fidelcastro]

puedes empezar por el post principal, donde se detalla el proyecto

[Kravenbcn]

Bien fidel, parece que el proyecto DAXPLOIT va por buen camino

[m0skit0]

pues buscandolo, aunque hoy no me dara lugar a mucho, pero al modificar cada vez el valor es distinto, por lo que podemos buscar un valor valido en una de las ediciones no?

Claro, ¿acaso hay otra forma? Pero buscar el valor se tarda máximo 10 segundos... Los editores hexadecimales tienen una opción de buscar un valor, querido camarada

profe y ¿¿¿como podriamos ayudar los demas??? yo quiero tambn hacer algo, ahora que hay muxo time libre

Por ahora no hay mucho que hacer ya que sólo fidelcastro tiene los ficheros...