OFW4.81のPS3で使用可能な IDPS Dumper がリリース

追記 2017/11/16
IDPS Dumper v0.2.3 がリリースされました。OFW4.82対応版もあります。
bguerville曰く「KernelもWebkitも変更は入っていません。exploitは正常に動作するのでアプデしても多分大丈夫だと思いますが…」
との事ですが、4.82にはまだ上げないでください。何のためのアプデかの詳細が分かるまでは上げない方が良いです。

追記 2017/11/13
IDPS Dumper v0.2.1がリリースされました。
eMMC搭載のSuperSlim(CECH-4xxxA)に対応したとの事です。

PSX-Placeで、Team PS3XploitがPS3のIDPS(PS3が本体ごとに持つ固有のID)をダンプする
PS3 NAND/NOR IDPS Dumper v0.2 The AfterLeak Version をリリースした事が伝えられていました。

Team PS3Xploitというのは、ここ数日話題のPS3 FW4.81のexploitを開発するチーム名のようで、
チームの中心メンバーはbguerville氏とesc0rtd3w氏とW氏のようです。

このダンパーはNORモデル及びNANDモデル、つまりほぼ全てのモデルのPS3で動作するそうです。
※v0.2はeMMC搭載の4000型には未対応らしいのですが、出来るだけ早く対応させるとの事。

FW的な目線で見た直近のIDPSのダンプ方法は、Flatz氏が公開したFW4.66以下で行う方法です。
その方法は4.70で対策されてしまいましたが、今回のIDPS Dumperは最新のFWである4.81で使用可能です。
Slim(3000型)やNORモデルのSuperSlim(4000型)での動作も確認されています。

私は現在CFWを入れた2000型しか手元に無いので、OFW環境で試すことは出来ません。
CFW機で試してもあまり意味は無いのですが一応試してみました。結果、ダンプ出来ませんでした。。。
本来は電源が切れるはずのタイミングでフリーズしてしまいました…まあ、とりあえず使用方法を以下に書いておきます…
あと、記事にしてなかったのでこの記事にまとめますが、これのリリースを予告していたbguervilleのコメントも。



●用意する物
・USBマスストレージクラス対応機器(USBメモリ 等)
・PS3本体 OFW4.81
ps3_481_idps_dumper-PS3XPloit.zip
・PC(Windows/Linux)
・ネットワーク環境

(Windowsを使用する場合)
・python-2.7.14.msi (直リンク)
・capstone-3.0.5-rc2-python-win32.msi (直リンク)



以下、Windows環境の場合の使用方法を書いていきます。(Linuxの場合はwindows.batの代わりにlinux.shを使用します)

●IDPS Dumperの使用方法
0、PCとPS3をネットに接続(同一ネットワーク)

1、python-2.7.14.msi と capstone-3.0.5-rc2-python-win32.msi をダウンロードし、インストール。

2、ps3_481_idps_dumper-PS3XPloit.zip をダウンロードし、解凍。

3、windows.batを実行(ここから作業終了まで閉じない)

IDPS dump (1)

4、PS3のUSBポート(右側)にUSBメモリを挿す。

5、PS3でインターネットブラウザーを開き、STARTボタンを押す。

6、コンソールに表示されているアドレスをPS3で入力し、接続
※私の場合は 192.168.0.3:8080

7、PS3上でIDPS Dumperのindex.htmlが表示される。

8、PS3がNANDモデル場合は左、NORモデルの場合は右のLoad ROP Chainボタンを選択

IDPS dump (3)

NAND:Axx/Bxx/Cxx/Exx/Gxx
NOR:Hxx/Jxx/Kxx/Lxx/Mxx/Pxx/Qxx/2xxx/3xxx/4xxx
eMMC:4xxxA

9、ROP(Return-oriented programming)の処理が開始されるのでしばらく待つ。

IDPS dump (2)

コンソールはこんな感じ。ROPは少し時間が掛かる。

10、コンソールでIDPSがダンプされた旨が表示される。

IDPS dump (4)

同時にPS3がピピピと音を鳴らしてシャットダウンするらしい。そうなれば成功の模様。

11、USBメモリのルートにidps.binがあるはずなので、PCで確認してみる。




IDPS Dumperの使用方法は以上です。
以下はこのリリースの前日に公開されたPSX-Placeの記事の簡単な訳です。(bguervilleのコメント含む)


Official Firmware 4.81 Exploit - Software Downgrader & More Incoming! Could SuperSlim be hacked?

約7年前に3.55のexploitが発見されました。FW3.56以降に出たSlimモデルやSuperSlimモデルでは3.55にダウングレード出来ません。
しかし今、3人で構成されたチームがプロジェクトPS3Xploit(OFW4.81向けのexploitの開発)を進めているため、すべてが変わるかもしれません。
exploitはまだリリースされていませんが、"Unhackable PS3 models"(ハック出来ないモデルのPS3)は過去の物となり、
VitaのHENkakuのようなスタイルのハックが来る可能性があります。

現状、このexploitは全モデルのPS3でNOR/NAND Flashのダンプを行う事が可能です。
CFWが導入出来ないタイプの2500型以降のモデルでは書き込むことは出来ませんが、
それでも従来のハードウェアタイプのFlasherとはおさらばで、ソフトウェアタイプのFlasherの使用が可能です。
チームの中心メンバーは@bguerville氏と@esc0rtd3w氏とW氏です。

このexploit開発プロジェクトの背景は、bguerville氏がWebkitの研究の一環としてソースコードを見ていた際に脆弱性を発見し、
psx-placeでの議論の末、PS3にどのように役立てるかという理論が構成された所にあります。

開発チームが発足し、プロジェクトが本格的に動き出した際には、ポテンシャルを秘めたプロジェクトである事から、
チームは議論していたスレッドを一時的に見えなくするようにpsx-placeにリクエストしました。

残念ながらリリースの準備はまだ整っていません。しかしすぐにリリースされます。
exploitを完全な物にするためにはまだまだ開発を続ける必要があります。
開発チームはexploitのリリースの目標を2018年1月~3月にしています。

esc0rtd3w氏がPSXHAXでリリース目標をクリスマスだと発表した際に、彼のMEGAアカウントに不正アクセスがありました。
不正アクセスの主はexploit本体やexploitに関する重要な物であろうと思った物を盗んだのでしょうが、
それらはプロジェクト全体のほんの一部であり、それ自体は特に役に立たない物です。

良い知らせがあります。プロジェクトの一部ファイルのリークは、プロジェクトに損害を与えたり、
開発チームのやる気を損なわせる事はしていません。ただ、esc0rtd3w氏はいくつかの個人的なファイルを失いました。
PS3用のNoPSN App(PSN接続を必要とするものの、実際にはアカウントの情報を必要としないアプリのPSNバイパス)です。
しかし、esc0rtd3w氏はそれを再アップロードしたので安心してください。

また、PSX-PLACE以外の場所で伝えられているexploitの情報の一部が、100%正確では無いと言う報告があります。
しかし近々リリースがあるので、リリースされ次第PSX-PLACEでは事実を伝えるようにします。

bguerville氏が言うには、24時間以内に最初のリリースとして、全モデル対応のIDPSダンパーをリリースするとの事です。

bguerville氏からのコメント

私は6/7ヶ月の間PS3のWebkitの調査をしていましたが、当時は調査するだけで、
まさか最終的に自分がexploitの開発に取り組む事になるとは思いもしませんでした。

8月の終わり頃にesc0rtd3w氏に私の持っていた情報を教えました。私はその情報で彼が作業するだろうと思いましたが、
彼はWebkitについては詳しくなかったので、彼はW氏と協力して開発に取り組みました。

Webkitをハイジャックする事により、PS3のroot権限を得て、lv2のシステムコールを使用する事が可能になります。
しかしPS3のOSはNXビット(WindowsのData Execution Preventionに相当)によって保護されています。

保護により我々独自のペイロードを実行する事は出来ませんが、Return-oriented programming(ROP)でコードを実行可能です。

原理はシンプルで、システムコードからスニペットを選択します。(それらスニペットはgadgetと呼ばれます)
アセンブルしてgadgetsからgadgetsへジャンプします。それで値/パラメータやオフセットは渡されます。

9月の最初に私は開発に参加し、2週間後にはROPを実現しました。
そこから私はROPで開発を行っています。esc0rtd3w氏やW氏はテストやリサーチ、デバッグを手伝ってくれました。

現在、私は2つのROP chainを用意しています。1つはIDPSのダンプ用。もう1つがFlashのダンプ用です。
IDPSダンパーが近くリリース予定です。Flashダンパーはその後にリリースする予定です。
次はFlashダンパーをFlashライターに変更する事を目的に開発を進めます。
それがリリースされれば、PS3用のハードウェアタイプのFlasherの多くは使われなくなるでしょう。

ちなみに、IDPSダンパーやFlashダンパーは全モデルで動作するはずです。
Superslimでのテストでも問題無しと判断しました。

上記のROPの作業が完了した後には、さらにいろいろとリリースする予定です。
お楽しみに。




という事で、次はFlashメモリ関連のリリースがありそうですね。
久々にPS3のハックに進展があるようで、なんだかワクワクしてきましたよ私。
OFWのPS3、購入検討中。CFWのPS3はまだ、まだこのままで。。。

[ 2017/11/12 05:02 ] カテゴリ PS3 | コメント(1)
お売りください。駿河屋です。


▼コメント





 2017/11/13 21:19 
解説ありがとうございます。
お陰で成功しました。


(記入必須)

(空白で構いません / 管理人のみ確認可)

(記入必須)






メールフォームより連絡頂ければメールにてお返事致します。


トラックバック
http://cmd0725.blog.fc2.com/tb.php/1633-2ec7157e


お売りください。駿河屋です。