2017/11/12 05:02
追記 2017/11/25
この度、Team PS3Xploitよりフラッシュメモリに関するリリースがあったのでそちらも記事にしました。
Team PS3Xploit によるOFW4.82のPS3向け NOR Dumper と NOR/NAND Software Flash Writer
追記 2017/11/16
IDPS Dumper v0.2.3 がリリースされました。OFW4.82対応版もあります。
追記 2017/11/13
IDPS Dumper v0.2.1がリリースされました。
eMMC搭載のSuperSlim(CECH-4xxxA)に対応したとの事です。
この度、Team PS3Xploitよりフラッシュメモリに関するリリースがあったのでそちらも記事にしました。
Team PS3Xploit によるOFW4.82のPS3向け NOR Dumper と NOR/NAND Software Flash Writer
追記 2017/11/16
IDPS Dumper v0.2.3 がリリースされました。OFW4.82対応版もあります。
追記 2017/11/13
IDPS Dumper v0.2.1がリリースされました。
eMMC搭載のSuperSlim(CECH-4xxxA)に対応したとの事です。
PSX-Placeで、Team PS3XploitがPS3のIDPS(PS3が本体ごとに持つ固有のID)をダンプする
PS3 NAND/NOR IDPS Dumper v0.2 The AfterLeak Version をリリースした事が伝えられていました。
Team PS3Xploitというのは、ここ数日話題のPS3 FW4.81のexploitを開発するチーム名のようで、
チームの中心メンバーはbguerville氏とesc0rtd3w氏とW氏のようです。
このダンパーはNORモデル及びNANDモデル、つまりほぼ全てのモデルのPS3で動作するそうです。
※v0.2はeMMC搭載の4000型には未対応らしいのですが、出来るだけ早く対応させるとの事。
FW的な目線で見た直近のIDPSのダンプ方法は、Flatz氏が公開したFW4.66以下で行う方法です。
その方法は4.70で対策されてしまいましたが、今回のIDPS Dumperは最新のFWである4.81で使用可能です。
Slim(3000型)やNORモデルのSuperSlim(4000型)での動作も確認されています。
私は現在CFWを入れた2000型しか手元に無いので、OFW環境で試すことは出来ません。
CFW機で試してもあまり意味は無いのですが一応試してみました。結果、ダンプ出来ませんでした。。。
本来は電源が切れるはずのタイミングでフリーズしてしまいました…まあ、とりあえず使用方法を以下に書いておきます…
あと、記事にしてなかったのでこの記事にまとめますが、これのリリースを予告していたbguervilleのコメントも。
●用意する物
・USBマスストレージクラス対応機器(USBメモリ 等)
・PS3本体 OFW4.81
・ps3_481_idps_dumper-PS3XPloit.zip
・PC(Windows/Linux)
・ネットワーク環境
(Windowsを使用する場合)
・python-2.7.14.msi (直リンク)
・capstone-3.0.5-rc2-python-win32.msi (直リンク)
以下、Windows環境の場合の使用方法を書いていきます。(Linuxの場合はwindows.batの代わりにlinux.shを使用します)
●IDPS Dumperの使用方法
0、PCとPS3をネットに接続(同一ネットワーク)
1、python-2.7.14.msi と capstone-3.0.5-rc2-python-win32.msi をダウンロードし、インストール。
2、ps3_481_idps_dumper-PS3XPloit.zip をダウンロードし、解凍。
3、windows.batを実行(ここから作業終了まで閉じない)
4、PS3のUSBポート(右側)にUSBメモリを挿す。
5、PS3でインターネットブラウザーを開き、STARTボタンを押す。
6、コンソールに表示されているアドレスをPS3で入力し、接続
※私の場合は 192.168.0.3:8080
7、PS3上でIDPS Dumperのindex.htmlが表示される。
8、PS3がNANDモデル場合は左、NORモデルの場合は右のLoad ROP Chainボタンを選択
NAND:Axx/Bxx/Cxx/Exx/Gxx
NOR:Hxx/Jxx/Kxx/Lxx/Mxx/Pxx/Qxx/2xxx/3xxx/4xxx
eMMC:4xxxA
9、ROP(Return-oriented programming)の処理が開始されるのでしばらく待つ。
コンソールはこんな感じ。ROPは少し時間が掛かる。
10、コンソールでIDPSがダンプされた旨が表示される。
同時にPS3がピピピと音を鳴らしてシャットダウンするらしい。そうなれば成功の模様。
11、USBメモリのルートにidps.binがあるはずなので、PCで確認してみる。
IDPS Dumperの使用方法は以上です。
以下はこのリリースの前日に公開されたPSX-Placeの記事の簡単な訳です。(bguervilleのコメント含む)
Official Firmware 4.81 Exploit - Software Downgrader & More Incoming! Could SuperSlim be hacked?
約7年前に3.55のexploitが発見されました。FW3.56以降に出たSlimモデルやSuperSlimモデルでは3.55にダウングレード出来ません。
しかし今、3人で構成されたチームがプロジェクトPS3Xploit(OFW4.81向けのexploitの開発)を進めているため、すべてが変わるかもしれません。
exploitはまだリリースされていませんが、"Unhackable PS3 models"(ハック出来ないモデルのPS3)は過去の物となり、
VitaのHENkakuのようなスタイルのハックが来る可能性があります。
現状、このexploitは全モデルのPS3でNOR/NAND Flashのダンプを行う事が可能です。
CFWが導入出来ないタイプの2500型以降のモデルでは書き込むことは出来ませんが、
それでも従来のハードウェアタイプのFlasherとはおさらばで、ソフトウェアタイプのFlasherの使用が可能です。
チームの中心メンバーは@bguerville氏と@esc0rtd3w氏とW氏です。
このexploit開発プロジェクトの背景は、bguerville氏がWebkitの研究の一環としてソースコードを見ていた際に脆弱性を発見し、
psx-placeでの議論の末、PS3にどのように役立てるかという理論が構成された所にあります。
開発チームが発足し、プロジェクトが本格的に動き出した際には、ポテンシャルを秘めたプロジェクトである事から、
チームは議論していたスレッドを一時的に見えなくするようにpsx-placeにリクエストしました。
残念ながらリリースの準備はまだ整っていません。しかしすぐにリリースされます。
exploitを完全な物にするためにはまだまだ開発を続ける必要があります。
開発チームはexploitのリリースの目標を2018/Q1にしています。
esc0rtd3w氏がPSXHAXでリリース目標をクリスマスだと発表した際に、彼のMEGAアカウントに不正アクセスがありました。
不正アクセスの主はexploit本体やexploitに関する重要な物であろうと思った物を盗んだのでしょうが、
それらはプロジェクト全体のほんの一部であり、それ自体は特に役に立たない物です。
良い知らせがあります。プロジェクトの一部ファイルのリークは、プロジェクトに損害を与えたり、
開発チームのやる気を損なわせる事はしていません。ただ、esc0rtd3w氏はいくつかの個人的なファイルを失いました。
PS3用のNoPSN App(PSN接続を必要とするものの、実際にはアカウントの情報を必要としないアプリのPSNバイパス)です。
しかし、esc0rtd3w氏はそれを再アップロードしたので安心してください。
また、PSX-PLACE以外の場所で伝えられているexploitの情報の一部が、100%正確では無いと言う報告があります。
しかし近々リリースがあるので、リリースされ次第PSX-PLACEでは事実を伝えるようにします。
bguerville氏が言うには、24時間以内に最初のリリースとして、全モデル対応のIDPSダンパーをリリースするとの事です。
bguerville氏からのコメント
私は6/7ヶ月の間PS3のWebkitの調査をしていましたが、当時は調査するだけで、
まさか最終的に自分がexploitの開発に取り組む事になるとは思いもしませんでした。
8月の終わり頃にesc0rtd3w氏に私の持っていた情報を教えました。私はその情報で彼が作業するだろうと思いましたが、
彼はWebkitについては詳しくなかったので、彼はW氏と協力して開発に取り組みました。
Webkitをハイジャックする事により、PS3のroot権限を得て、lv2のシステムコールを使用する事が可能になります。
しかしPS3のOSはNXビット(WindowsのData Execution Preventionに相当)によって保護されています。
保護により我々独自のペイロードを実行する事は出来ませんが、Return-oriented programming(ROP)でコードを実行可能です。
原理はシンプルで、システムコードからスニペットを選択します。(それらスニペットはgadgetと呼ばれます)
アセンブルしてgadgetsからgadgetsへジャンプします。それで値/パラメータやオフセットは渡されます。
9月の最初に私は開発に参加し、2週間後にはROPを実現しました。
そこから私はROPで開発を行っています。esc0rtd3w氏やW氏はテストやリサーチ、デバッグを手伝ってくれました。
現在、私は2つのROP chainを用意しています。1つはIDPSのダンプ用。もう1つがFlashのダンプ用です。
IDPSダンパーが近くリリース予定です。Flashダンパーはその後にリリースする予定です。
次はFlashダンパーをFlashライターに変更する事を目的に開発を進めます。
それがリリースされれば、PS3用のハードウェアタイプのFlasherの多くは使われなくなるでしょう。
ちなみに、IDPSダンパーやFlashダンパーは全モデルで動作するはずです。
Superslimでのテストでも問題無しと判断しました。
上記のROPの作業が完了した後には、さらにいろいろとリリースする予定です。
お楽しみに。
私は6/7ヶ月の間PS3のWebkitの調査をしていましたが、当時は調査するだけで、
まさか最終的に自分がexploitの開発に取り組む事になるとは思いもしませんでした。
8月の終わり頃にesc0rtd3w氏に私の持っていた情報を教えました。私はその情報で彼が作業するだろうと思いましたが、
彼はWebkitについては詳しくなかったので、彼はW氏と協力して開発に取り組みました。
Webkitをハイジャックする事により、PS3のroot権限を得て、lv2のシステムコールを使用する事が可能になります。
しかしPS3のOSはNXビット(WindowsのData Execution Preventionに相当)によって保護されています。
保護により我々独自のペイロードを実行する事は出来ませんが、Return-oriented programming(ROP)でコードを実行可能です。
原理はシンプルで、システムコードからスニペットを選択します。(それらスニペットはgadgetと呼ばれます)
アセンブルしてgadgetsからgadgetsへジャンプします。それで値/パラメータやオフセットは渡されます。
9月の最初に私は開発に参加し、2週間後にはROPを実現しました。
そこから私はROPで開発を行っています。esc0rtd3w氏やW氏はテストやリサーチ、デバッグを手伝ってくれました。
現在、私は2つのROP chainを用意しています。1つはIDPSのダンプ用。もう1つがFlashのダンプ用です。
IDPSダンパーが近くリリース予定です。Flashダンパーはその後にリリースする予定です。
次はFlashダンパーをFlashライターに変更する事を目的に開発を進めます。
それがリリースされれば、PS3用のハードウェアタイプのFlasherの多くは使われなくなるでしょう。
ちなみに、IDPSダンパーやFlashダンパーは全モデルで動作するはずです。
Superslimでのテストでも問題無しと判断しました。
上記のROPの作業が完了した後には、さらにいろいろとリリースする予定です。
お楽しみに。
という事で、次はFlashメモリ関連のリリースがありそうですね。
久々にPS3のハックに進展があるようで、なんだかワクワクしてきましたよ私。
OFWのPS3、購入検討中。CFWのPS3はまだ、まだこのままで。。。
PS3 CSID ダンプ,E3 Flasher,NOR Flash,NAND Flash
kood
