[PS4] La Team fail0verflow parle d'une nouvelle méthode de dump jusqu'au 4.50

1966 visiteurs sur le site | S'incrire

Accédez aux coordonnées de l’ensemble des techniciens professionnels recommandés par logic-sunrise 20 derniers dossiers et tutoriaux
Playstation 3 / 4
[PS4] La Team fail0verflow parle d'une nouvelle méthode de dump jusqu'au 4.50
 
Que se passe-t-il si un périphérique sécurisé a un format crashdump visible ? Et si ce même périphérique permettait de mettre de la mémoire arbitraire dans le crashdump ? Étonnamment, la PlayStation 4 prend en charge ces deux fonctionnalités, et c'est la Team fail0verflow qui nous en informe !
 
 
 
 
Deux parties, le crashdump et le lancement de code arbitraire dans la mémoire !
 
Crashdumps sur PS4
 
L'infrastructure de gestion dr crash dans le kernel ps4 est intéressante pour 2 raisons :
 
- C'est un code spécifique à la PS4 (susceptible d'être bogué)
- Si le crashdump peut être décodé, nous obtiendrons des informations très utiles pour trouver des bogues et créer des exploits fiables
 
 
Sur un système FreeBSD normal, une panique du kernel créera une sauvegarde en appelant kern_reboot avec l'indicateur RB_DUMP. Cela conduit alors à l'appel de doadump, qui va déverser une quantité plutôt minime d'informations sur l'image du kernel elle-même sur un périphérique de stockage.
 
Sur la PlayStation 4, le remplacement de doadump est mdbg_run_dump, qui peut être appelé dès la panique ou directement depuis trap_fatal. La quantité d'informations stockées dans la sauvegarde est gigantesque - l'état du kernel pour tous les objets process, thread et vm sont inclus, ainsi que des métadonnées sur les bibliothèques chargées. 
 
D'autres changements évidents de la méthode FreeBSD à la vanille sont que le mdbg_run_dump code les données enregistrées dans la sauvegarde, champ par champ, et crypte en plus le tampon résultant avant de le stocker sur le disque.
 
 
 
 
 
Dumper n'importe quoi
 
La Team fail0verflow explique qu'il est possible d'utiliser sur une partie spéciale de mdbg_run_dump où sont gérés tous les threads du processus et essaie de vider l'état de pthread.
 
 
dumpstate est un tampon temporaire qui finira par arriver dans le crashdump. Pour résumer, sysdump__internal_call_readuser peut être configuré pour fonctionner comme un oracle accessible en lecture. Ceci est dû au fait que fsbase pointera vers l'espace d'adresse usermode de notre processus webkit. 
 
Ainsi, même sans changer la valeur fsbase réelle, nous pouvons changer librement la valeur de tcb_thread, qui est stockée à fsbase + 0x10.
 
De plus, sysdump__internal_call_readuser lira heureusement à partir d'une adresse de kernel et placera le résultat dans la sauvegarde.
 
Nous pouvons maintenant placer n'importe quel emplacement du kernel dans le dump, mais nous devons encore le déchiffrer et le décoder...
 
En dehors de cela, il y a aussi le problème que nous pouvons seulement ajouter 0x10 octets par thread de cette manière ...
 
La Team explique après ce que sont le Crypto Crashdump, Crashdump Décodage et le Crashdump Automation en disant que les clés sont les mêmes depuis le firmware 1.01, et que la limité de 0x10 octets n'a qu'une limite de 600 threads ! 600 threads en même temps avant que le processus du navigateur ne se bloque, ou refuse de faire plus de threads.
 
Avec une telle capacité, l'automatisation des processus est simplifiée, il est alors possible avec une modification matérielle de la commutation d'alimentation de la ps4 au réseau et simuler l'entrée de la ps4 avec l'API gadget usb de Linux, d'aller lire les processus.
 
Ces problèmes sécuritaires liés aux clés ont été corrigés avec le firmware 4.50, la méthode de génération des clés crashdumps a été modifiée par une reconnaissance d'une clé asymétrique afin de déchiffrer le contenu du dump.
 
Le processus reste long, juste pour dumper via cette méthode il faut pas moins de 6 jours, cette analyse est une nouvelle fois très intéressante, peut être un moyen de faire une nouvelle fois progresser les recherches sur des firmwares plus récent que le 4.05 par exemple.
 
 
Tout est là : ps4-crashdump-dump
 
Mercredi 27 Décembre 2017, 19:39 par tralala
Source : fail0verflow.com
27 décembre 2017, 19:52
Approuver ce commentaire (+1)
cool merci tralala et aux devs...
Répondre à ce commentaire
27 décembre 2017, 19:56
Approuver ce commentaire (+1)
Merci tralala !
Répondre à ce commentaire
27 décembre 2017, 20:02
Approuver ce commentaire (+1)
Ah bah ça va commencer à ce débloquer !

Merci pour la news tralala !
Répondre à ce commentaire
27 décembre 2017, 20:05
Approuver ce commentaire (+1)
la course a la distribution des joujoux est lancé
Répondre à ce commentaire
27 décembre 2017, 20:49
Approuver ce commentaire (+1)
allez FOF ...faites plaisir aux autres !
Répondre à ce commentaire
27 décembre 2017, 20:55
Approuver ce commentaire (+1)
Et comme par hasard je suis en 4.50..... PUT*** !
Répondre à ce commentaire
27 décembre 2017, 21:33
Approuver ce commentaire (+1)
+1
Bon travail la Team Fail0verflow... mais 6 jours c'est encore a travailler ;)Bon courage ! le dechiffrage du contenu du dump est très intéressant cela dit... ou une petite MAJ de PS4_AC1D_Flash-Tool encore mieux ... Merci à cette Team la meilleure qu'il n'y ai jamais eu
Répondre à ce commentaire
27 décembre 2017, 21:58
Approuver ce commentaire (+1)
+1 c'est clair ...
Répondre à ce commentaire
27 décembre 2017, 22:10
Approuver ce commentaire (+1)
Donc ce qui veut dire c'est que en 4.55 ça va être très compliqué :(
Répondre à ce commentaire
27 décembre 2017, 23:22
Approuver ce commentaire (+1)

Merci pour la news

Répondre à ce commentaire
28 décembre 2017, 00:30
Approuver ce commentaire (+1)
Firmware 4.50 - 4.55: Fully exploited in private

Ce qui veut dire que quelqu'un a quelque chose, mais on en parle pas mdrrrr
Répondre à ce commentaire
28 décembre 2017, 01:24
Approuver ce commentaire (+1)

Firmware 4.50 - 4.55: Fully exploited in private

Ce qui veut dire que quelqu'un a quelque chose, mais on en parle pas mdrrrr


Ils ont jusqu en 5.01 mais oui en privé.
Et là en 5.01 c est plus risqué suremment par rapport a sony sur le dernier firmware je compte pas le 5.03 car pas obligatoire pour l instant


Statut de Jailbreak PS4

Firmware 1.76: Entièrement exploité en public

Firmware 3.55: Exploitation publique de WebKit

Firmware 4.05: Entièrement exploité en public

Firmware 4.07: Exploitation publique de WebKit

Firmware 4.50 - 4.55: Entièrement exploité en privé

Firmware 5.00 - 5.01:Entièrement exploité en privé
Répondre à ce commentaire
28 décembre 2017, 04:34
Approuver ce commentaire (+1)
il y a un truc que je comprend pas le firmware 4.07 il y a un exploit dessus et les firmwares comme 4.50 ou 5.00 sont exploité entierement..
Ce qui revient a dire que les 4.07 sont difficile a travaillé ? moi qui pensé que + qu'un firmware est recent et + il est compliqué a travaillé dessus pour le deverouiller....
je comprend plus rien moi lol
Répondre à ce commentaire
28 décembre 2017, 08:53
Approuver ce commentaire (+1)
c'est parce que chaque firmware dispose de corrections spécifiques, en fait chaque firmware intègre ses propres corrections, et un exploit ne s'adapte pas à un firmware différent, il faut le porter.

Les derniers firmwares majeurs (4.50, 5.00) apportent des nouveautés, des options, de nouvelles versions de navigateurs donc de nouvelles failles, tandis que les firmwares qui suivent 4.55, 5.01, 5.03 viennent corrigés des failles.

Un firmware plus récent, qui apporte de nouvelles options, apporte aussi son lot de nouvelles failles, ce qui explique qu'un firmware plus récent peut être moins sécurisé.

C'est ce que qwertyoruiopz avait expliqué dans un tweet mais je ne le retrouve plus ^^ .
Répondre à ce commentaire
28 décembre 2017, 09:05
Approuver ce commentaire (+1)
je rajouterai que les testkits/devkits ont moins de limitations sur les dumps :
ils peuvent dumper avec moins d'encryption, dumper plus (appellé FULL DUMP) et dumper à volonté (quand ils veulent, pas forcément quand un crash survient).
Répondre à ce commentaire
28 décembre 2017, 09:30
Approuver ce commentaire (+1)
je comprend un peu mieux
..bon ben il reste plus qu'a attendre ....moi qui est en 4.07 je peut rien faire....
Répondre à ce commentaire
28 décembre 2017, 14:23
Approuver ce commentaire (+1)

Firmware 4.50 - 4.55: Fully exploited in private

Ce qui veut dire que quelqu'un a quelque chose, mais on en parle pas mdrrrr


Ils ont jusqu en 5.01 mais oui en privé.
Et là en 5.01 c est plus risqué suremment par rapport a sony sur le dernier firmware je compte pas le 5.03 car pas obligatoire pour l instant


Statut de Jailbreak PS4

Firmware 1.76: Entièrement exploité en public

Firmware 3.55: Exploitation publique de WebKit

Firmware 4.05: Entièrement exploité en public

Firmware 4.07: Exploitation publique de WebKit

Firmware 4.50 - 4.55: Entièrement exploité en privé

Firmware 5.00 - 5.01:Entièrement exploité en privé


Merci pour ces information c'est plus clair avec un tableau comme celui-ci, moi je suis resté encore en dessous du 4.05 je suis en 3.55 mais visiblement il y a pas encore tout en public sur mon firmware est ce que le hack public 4.05 sera rétrocompatible prochainement ?
Répondre à ce commentaire
28 décembre 2017, 14:43
Approuver ce commentaire (+1)
merci, l'année 2018 sera la bonne =)
Répondre à ce commentaire
29 décembre 2017, 11:09
Approuver ce commentaire (+1)

Firmware 4.50 - 4.55: Fully exploited in private

Ce qui veut dire que quelqu'un a quelque chose, mais on en parle pas mdrrrr


Ils ont jusqu en 5.01 mais oui en privé.
Et là en 5.01 c est plus risqué suremment par rapport a sony sur le dernier firmware je compte pas le 5.03 car pas obligatoire pour l instant


Statut de Jailbreak PS4

Firmware 1.76: Entièrement exploité en public

Firmware 3.55: Exploitation publique de WebKit

Firmware 4.05: Entièrement exploité en public

Firmware 4.07: Exploitation publique de WebKit

Firmware 4.50 - 4.55: Entièrement exploité en privé

Firmware 5.00 - 5.01:Entièrement exploité en privé


Merci pour ces information c'est plus clair avec un tableau comme celui-ci, moi je suis resté encore en dessous du 4.05 je suis en 3.55 mais visiblement il y a pas encore tout en public sur mon firmware est ce que le hack public 4.05 sera rétrocompatible prochainement ?


je pense que pas mal de devs sont intéressé par les FWs compris entre 1.76 et 4.05 pour dumper le kernel notamment.
Répondre à ce commentaire
29 décembre 2017, 13:20
Approuver ce commentaire (+1)
+1
donc ce qui veut dire les + haut que 4.05 sont tous des condamnées a mort ?
Répondre à ce commentaire
29 décembre 2017, 13:38
Approuver ce commentaire (+1)

Seul l'avenir nous le dira.

Répondre à ce commentaire
29 décembre 2017, 18:32
Approuver ce commentaire (+1)
et l'avenir et plutôt bonne ou pas ? mdrr
Répondre à ce commentaire
30 décembre 2017, 15:46
Approuver ce commentaire (+1)

donc ce qui veut dire les + haut que 4.05 sont tous des condamnées a mort ?


L exploit kernel existe en 4.50/4.55 et 5.00/5.01 ils seront bien publié un jour...
À toi de voir si tu es patient ou pas...

Le kexploit 4.05 ça fait 1 an et demi qu on l attendait...


et l'avenir et plutôt bonne ou pas ? mdrr


Pour moi Oui, au moins on sait qu il existe encore des kexploits, c est pas comme si y avait plus rien au dessous de 4.05...
Maintenant quand aura lieu la publication, seul le temps nous le dira...
Répondre à ce commentaire
Cliquer ici pour continuer sur le forum
Envoyer