crash by jeerum en ofw 6.10 (subido archivo para testear)

[m0skit0]

Hala, hala, no nos precipitemos... Ya estamos hablando del ChickHEN y ni siquiera sabemos aún si es explotable Haya tranquilidad y paz...

[DaCookieMonsta]

Se me hace ke los archivos no están subidos xD
PD: m0skito, cuando lo vas a probar con las BBBBs y eso?

[arisma]

Se me hace ke los archivos no están subidos xD
PD: m0skito, cuando lo vas a probar con las BBBBs y eso?

Con BBB sigue funcionando el crash(CFW 5.00 M33-6), el caso es que no puede hacer la captura con remotejoy

A ver si hoy me sale.

[m0skit0]

arisma, no uses remotejoy y compila psplink desde las fuentes... Usa Linux, man

[arisma]

arisma, no uses remotejoy y compila psplink desde las fuentes... Usa Linux, man

¿???????? Te refieres a que hay otro paquete que no sea usbhostfs, pspsh, remotejoy? Recuerda que estoy en Debian y me bajo psptoolchain con svn.

No sé te subo lo que me ha dado aunque no soy capaz de cargar con pspsh el modulo vshmain.prx, aun así me ha dado imagen y he realizado crash, pero apenas me da información.

A ver si me puedes ayudar(entiendo lo de la falta de tiempo, así que tranqui).

Compilo todo, y teniendo en cuenta que tengo un CFW 5.00 M33-6 copio los prx de release_oe, y en otra carpeta remotejoy.prx
Ejecuto usbhostfs_pc, ejecuto remotejoy 3.0 oe(psp), pspsh(cargo modulo vshmain.prx y error) cargo remotejoy.prx y ok. cargo remotejoy -d -c para ver imagen y voy a imagenes y etc...

******************
Jajaja, quería hacerlo con la imagen sin modificar a ver que me daba y he vuelto a hacerlo con el mismo y me da ésto.

Como información adicional te diré que se ha congelado, pero no apagado esta vez.

Perdona por el charlote, jeje.

Para terminar, he vuelto a cargar la primera imagen, y no se me ha colgado(sí ha dado el error porque lo veo en pspsh) pero ha vuelto al xmb, eso sí, al volver a meterme en photo para intentarlo de nuevo se ha quedado

[m0skit0]

Recuerda que estoy en Debian y me bajo psptoolchain con svn.

Como yo

Vas a psplinkusb y make release. Vas a release_oe y veras ambos plugins (psplink.prx y usbhostfs.prx si recuerdo bien). En Linux tienes que ejecutar primero usbhostfs_pc y luego pspsh. Incluyes y activas los plugins psplink en VSH. Yatta. No te fíes mucho de los nombres que te pongo porque son de pura memoria, y la mía falla mazo

he vuelto a hacerlo con el mismo y me da ésto.

Ahora sí te ha saltado la excepción en pspsh. No sé qué tal se te da el ensamblador MIPS, pero si te fijas, la instrucción que da error es sw $t1, 8($a1), es decir, "guarda el valor del registro $t1 en la dirección apuntada por el registro $a1 + 8". Pero resulta que el valor de $a1 no es una dirección de memoria válida en PSP (0xFF454545).

Ahora si te fijas en el error que posteó antes darkness_psp citando a jeerum, vemos que $a1 vale 0xFF414141. Teniendo en cuenta que 'A' en ASCII es 0x41 y que 'E' es 0x45, ambos existen en el fichero BMP y está claro que acaban de alguna manera en el registro $a1 de forma incorrecta. Por tanto, hay alguna vulnerabilidad en este código, ya que el valor de $a1 es incorrecto y además parece que se haya sobreescrito en memoria. Esto puede ser debido a un desbordamiento de buffer, pero habría que hacer un análisis más profundo, como una ingeniería inversa sobre el código de scePaf_Module (paf.prx en flash0:/vsh) para ver de dónde saca el valor de $a1.

Creo que este exploit puede tener un futuro prometedor

[arisma]

Ensamblador de MIPS? Jajajja, nada de nada. A ver si para el proximo curso, jeje.

De todas formas si puedo ayudar en algo ya sabes. Seguro que ayuda la experiencia medio olvidada de cuando le daba al ensamblador de x86.

De todas formas es curioso porque mete 454545(EEE) pero lo que hemos metido es BBB. jejeje.

No sé al principio hay un 454545FF, quien sabe.

********
Si cambiamos el segundo grupo de AAA->BBB, entonces ->

host0:/> Exception - Address store
Thread ID - 0x0505925F
Th Name - ScePafJob
Module ID - 0x048AF43F
Mod Name - scePaf_Module
EPC - 0x0895185C
Cause - 0x10000014
BadVAddr - 0xFF45454D
Status - 0x20088612
zr:0x00000000 at:0xDEADBEEF v0:0x00000000 v1:0x00000033
a0:0x0000001F a1:0xFF454545 a2:0x00001ED0 a3:0x00001ED0
t0:0x00000001 t1:0x089AC69C t2:0x08AFA108 t3:0x00000000
t4:0xDEADBEEF t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0xFF454544 s1:0x00001EC0 s2:0x096390F8 s3:0x00000001
s4:0x00001EE0 s5:0x089AC660 s6:0x00000033 s7:0x08AFA11C
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x09FEEB00 k1:0x00000000
gp:0x089AB420 sp:0x09FEE830 fp:0x08AD9AEC ra:0x08951CF8
0x0895185C: 0xACA90008 '....' - sw $t1, 8($a1)
Exception - Address load/inst fetch
Thread ID - 0x04E9D817
Th Name - SCE_VSH_GRAPHICS
Module ID - 0x048AF43F
Mod Name - scePaf_Module
EPC - 0x0891AF78
Cause - 0x10000010
BadVAddr - 0xFF555555
Status - 0x60088613
zr:0x00000000 at:0x3F800000 v0:0x00000001 v1:0x089D6350
a0:0x089A3DB0 a1:0x00000010 a2:0x00000002 a3:0x089D0000
t0:0x089D0000 t1:0x00000000 t2:0x00000000 t3:0x00000000
t4:0xDEADBEEF t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0xFF555555 s1:0x089A3A54 s2:0x089A0000 s3:0x089E8820
s4:0x089A0000 s5:0x00000001 s6:0x089A0000 s7:0x09C60000
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x09FFED00 k1:0x00000000
gp:0x09C61990 sp:0x09FFEBB0 fp:0x09FFECC0 ra:0x0891AF78
0x0891AF78: 0x8E030000 '....' - lw $v1, 0($s0)

Si editamos ese grupo primero 454545FF->424242FF
host0:/> Exception - Address store
Thread ID - 0x05056275
Th Name - ScePafJob
Module ID - 0x048E6F4D
Mod Name - scePaf_Module
EPC - 0x0895195C
Cause - 0x10000014
BadVAddr - 0xFF45454D
Status - 0x20088612
zr:0x00000000 at:0xDEADBEEF v0:0x00000000 v1:0x00000033
a0:0x0000001F a1:0xFF454545 a2:0x00001ED0 a3:0x00001ED0
t0:0x00000001 t1:0x089AC79C t2:0x08AFAB08 t3:0x00000000
t4:0xDEADBEEF t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0xFF454544 s1:0x00001EC0 s2:0x096391F8 s3:0x00000001
s4:0x00001EE0 s5:0x089AC760 s6:0x00000033 s7:0x08AFAB1C
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x09FEEB00 k1:0x00000000
gp:0x089AB520 sp:0x09FEE830 fp:0x08ADF7FC ra:0x08951DF8
0x0895195C: 0xACA90008 '....' - sw $t1, 8($a1)

Total lo dejo un ratillo para no seguir a ciegas, jeje.

[Razvy14]

m0skit0 este crash puede ser explotable como tu dices?

[mohamiyo]

esto me me huele muy bien
seguro que consiguereis algo

Suerte, Animo!

[m0skit0]

m0skit0 este crash puede ser explotable como tu dices?

Eso estoy comprobando ahora mismo...

@mohamiyo: gracias tío, pero no hace falta que lo repitas tanto