Jump to content


PS5 IPV6 Kernel Exploit 1.03

¿Quieres enterarte al momento de las nuevas descargas? Síguenos en Twitter, Mastodon o Threads!

Implementación experimental de WebKit ROP de un exploit del kernel PS5 basado en el IPV6 Use-After-Free (UAF) de TheFlow, que fue reportado en HackerOne. La estrategia del exploit se basa en su mayor parte en el PoC BSD/PS4 de TheFlow con algunos cambios para acomodar la molesta disposición de la memoria de PS5 (para más información, véase la sección de Notas de Investigación). Establece una primitiva de lectura/escritura (semi-arbitraria) arbitraria. Este exploit y sus capacidades tienen muchas limitaciones, y como tal, está pensado principalmente para que los desarrolladores jueguen con él para hacer ingeniería inversa en algunas partes del sistema.

También hay que tener en cuenta que la estabilidad es bastante baja, especialmente en comparación con los exploits de PS4. Esto se debe a la naturaleza del fallo, que está vinculado a una condición de carrera, así como a las mitigaciones y la disposición de la memoria de la PS5. Este documento contendrá información de investigación sobre la PS5, y este exploit será objeto de desarrollo y mejoras continuas a medida que pase el tiempo.

Esto posiblemente podría funcionar en 4.50 también a través de la sustitución de offsets de gadgets válidos de 4.50 + deslizamientos del kernel, pero eso será para el trabajo futuro.

Actualmente se incluye

  • Obtiene lecturas/escrituras arbitrarias y puede ejecutar un servidor RPC básico para lecturas/escrituras (o un servidor de volcado para grandes lecturas) (debe editar su propia dirección/puerto en el archivo exploit en las líneas 673-677)
  • Activa el menú de configuración de depuración (nota: tendrás que salir completamente de la configuración y volver a entrar para verlo).
  • Obtiene privilegios de root

Limitaciones

  • Este exploit logra la lectura/escritura, pero no la ejecución de código. Esto se debe a que actualmente no podemos volcar el código del kernel para los gadgets, ya que las páginas de texto del kernel están marcadas como memoria de sólo ejecución (XOM). Si se intenta leer los punteros .text del kernel, se producirá un pánico.
  • Según lo anterior + el hipervisor (HV) que impone la protección de escritura del kernel, este exploit tampoco puede instalar ningún parche o gancho en el espacio del kernel, lo que significa que no hay código relacionado con el homebrew por el momento.
  • La integridad del flujo de control (CFI) basada en Clang está presente y se aplica.
  • La Prevención/Ejecución del Acceso en Modo Supervisor (SMAP/SMEP) no puede ser desactivada, debido al HV.
  • La primitiva de escritura está algo limitada, ya que los bytes 0x10-0x14 deben ser cero (o una interfaz de red válida).
  • La estabilidad del exploit es actualmente pobre. Más adelante se hablará de ello.
  • Cuando se ejecuta con éxito, sale del navegador con el botón circular, el botón PS entra en pánico por una razón actualmente desconocida.

Cómo utilizarlo

  • Configura fakedns a través de dns.conf para que apunte a manuals.playstation.net a la dirección IP de tu PC
  • Ejecuta el dns falso: python fakedns.py -c dns.conf
  • Ejecutar el servidor HTTPS: python host.py
  • Ve a la configuración avanzada de red de PS5 y establece el DNS primario a la dirección IP de tu PC y deja el secundario en 0.0.0.0
    • A veces el manual sigue sin cargarse y es necesario reiniciar, no se sabe por qué es muy raro
  • Vaya al manual del usuario en la configuración y acepte la solicitud de certificado no fiable, ejecute
  • Opcional: Ejecute los scripts del servidor rpc/dump (nota: la dirección/puerto debe ser sustituida en forma binaria en exploit.js).

Notas sobre la estabilidad
La estabilidad de este exploit está en torno al 30%, y tiene múltiples puntos potenciales de fallo. En orden de probabilidad descendente observada:

  • La etapa 1 causa más de un UAF debido a que no atrapa uno o más en el reclaim, causando una corrupción latente que causa un pánico algún tiempo después.
  • La etapa 4 encuentra el socket solapado/víctima, pero el pktopts es el mismo que el del socket maestro, causando que la primitiva "read" sólo lea el puntero que intenta leer en lugar del contenido de ese puntero. Esto necesita alguna mejora y ser arreglado si es posible porque es realmente molesto.
  • El intento de la etapa 1 de reclamar el UAF falla y algo más roba el puntero, causando un pánico inmediato.
  • La fuga de kqueue falla y no encuentra un puntero de kernel .data reconocido.
  • Salir del navegador a través de medios "inusuales" como el botón PS, el botón de compartir, o la caída del navegador, hará que el kernel entre en pánico. Necesita ser investigado.

Notas de investigación

  • Parece que, basándose en varias pruebas y en el volcado con la primitiva de lectura, la PS5 ha vuelto al tamaño de página 0x1000 en comparación con el 0x4000 de la PS4.
  • También parece que en la PS5 las páginas adyacentes rara vez pertenecen a la misma losa, ya que obtendrás datos muy diferentes en páginas adyacentes. La distribución de la memoria parece más dispersa.
  • A menudo, cuando la PS5 entra en pánico (al menos en el contexto de webkit), habrá una salida de audio horrible ya que el buffer de audio se corrompe de alguna manera.
  • A veces esta corrupción de audio persiste hasta el siguiente arranque, sin saber por qué.
  • Al igual que la PS4, la PS5 requerirá que se pulse manualmente el botón de encendido de la consola dos veces para reiniciar después de un pánico.
  • Es normal que la PS5 tarde una cantidad absurda de tiempo en reiniciarse tras un pánico si está aislada de Internet (por desgracia). Espera que el arranque tarde entre 3 y 4 minutos.


Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator

PS5 4.03 Kernel Exploit ha sido creado por SpecterDev.

Que novedades incluye la versión 1.03

Released

  • Añade soporte para reubicaciones relativas.
  • Corregidos varios errores/tipologías menores (gracias John Tornblom).

No te pierdas nada, síguenos en Twitter, Mastodon o Threads!
Preguntas, aportes y peticiones en el foro.
Archivo anterior PS5-PS4Tools
Archivo siguiente PS5 Homebrew PoC

  • Contenido similar

    • etaHEN
      Por Dekuwa
      etaHEN es una aplicación todo en uno para activar el uso de homebrew en PS5.

      Características principales de etaHEN
      ★ etaHEN Toolbox (reemplazo de la configuración de depuración) Plugins personalizados de etaHEN [Toolbox] Instalar la Homebrew Store en la consola [Toolbox] ★Opciones del modo de reposo [Toolbox] Menú de uso remoto [Toolbox] Menú de plugins y menú de inicio automático de plugins [Toolbox] Menú de disco duro externo [Toolbox] Menú de TestKit [Toolbox] Menú de trucos (en proceso) [Toolbox] Desactivar el inicio automático de la caja de herramientas [Toolbox] Activación de la licencia de Blu-ray [Toolbox] Créditos y colaboradores de etaHEN [Toolbox] Menú de apertura automática tras la carga de etaHEN Compatibilidad con descifrado FTP para paquetes React (todos los firmwares) y Self (solo en la versión 2.xx) 2 demonios independientes para una mayor estabilidad y fiabilidad El demonio Util se reiniciará automáticamente con el demonio principal de etaHEN Versión personalizada del software del sistema (información personalizada del sistema) kstuff para compatibilidad con fself y fpkg Iniciar sesión en etaHEN /data/etaHEN (opcional) Acceso directo del controlador para abrir Itemzflow Configuración de depuración Volcador de juego (integrado con Itemzflow) Archivo de configuración HEN para ajustes Llamada IPC para jailbreak (jailbreakea aplicaciones homebrew) Bloqueador de actualizaciones (desmonta la partición de actualización) Plugin de trucos/parches de Illusions (opcional) Servidor FTP (opcional) en el puerto 1337 /data (opcional) permitido dentro de los entornos de pruebas de las aplicaciones Servidor Klog (opcional) en el puerto 9081 Elf Loader (opcional) en el puerto 9021 (usar Johns elfldr) PS5Debug (opcional) Integración con Itemzflow Servidor RPC de Discord (opcional) en el puerto 8000; haz clic aquí para obtener instrucciones de configuración Servicio de instalación directa de PKG V2 con interfaz web (opcional) en http://PS5_IP:12800 Servicio de instalación directa de PKG (opcional) en el puerto 9090 ethaHEN es una aplicación creada por LightningMods.
    • PS5 ezRemote Client
      Por Dekuwa
      PS5 eZRemote Client es una aplicación que permite conectar la PS5 a servidores remotos FTP/SFTP, SMB (Windows Share), NFS, WebDAV y HTTP para transferir archivos. Su interfaz está inspirada en el cliente Filezilla, que ofrece una interfaz gráfica similar a la de un administrador.

      Instalación
      Extraiga el archivo ezremote_client.zip en la carpeta /data/homebrew de la PS5. Debe cargar la carga de reproducción websrv. No podrá iniciar ezRemote Client sin él. Debe cargar kstuff o etaHen. Recomiendo usar kstuff si planea instalar paquetes. Según mis pruebas, obtengo velocidades de red 4 veces más rápidas con kstuff que con etaHen. ACTUALIZACIÓN: Habilitar el "Modo Lite" en etaHen resuelve el problema de velocidad de red. Puede probar esto también si tiene el mismo problema. Instalar PS-ezRemoteClient.pkg (Esto crea un acceso directo en el panel para iniciar la aplicación directamente a través de websrv). PS5 ezRemote Client ha sido creado por cy33hc.
    • ps5debug
      Por Dekuwa
      ps5debug es un depurador para la PlayStation 5.
      La API no ha cambiado desde ps4debug, por lo que libdebug debería seguir funcionando.
      ⚠️ Advertencia: ps5debug es actualmente una beta experimental y no todo funciona. Por favor, úsalo con precaución.
      Características
      Todo lo que conoces y amas de ps4debug incluyendo:
      Soporte de modo Rest. Escáner de consola. Servidor klog en el puerto 3232. Nuevos comandos API:
      CMD_PROC_BASE(0xBDAA000D) - Obtiene la dirección base de la sección ejecutable. struct cmd_proc_base_paquete {     uint32_t pid; } __atributo__((empaquetado)); struct cmd_proc_base_response {     uint64_t dirección; } __attribute__((empaquetado)); Problemas conocidos
      ASLR no está desactivado. Todo: CMD_CONSOLE_INFO Estado actual con las herramientas
      Reaper Studio El depurador funciona para ambos juegos ps4/ps5. La creación de trucos no está probada. MultiTrainer II Funciona con juegos de PS4 y PS5 con algunos problemas: Algunas cuevas de código que dependen de ASLR no funcionan. Parcheado para funcionar con ambos tipos de trucos json, con ASLR activado. La versión corregida será lanzada en breve. Reaper original Funcionando Tramposo PS4 Funcionando ps5debug es una aplicación creada por GoldHEN.
    • PS Remote Lua Loader
      Por Dekuwa
      PS Remote Lua Loader para PS4 y PS5, basado en el hallazgo de gezine que permite que los juegos creados con el motor Artemis carguen archivos lua arbitrarios. Este cargador no depende del firmware y se ha probado con éxito en PS5 Pro 10.40.

      Actualmente, este cargador es específico para la siguiente lista de juegos:
      Raspberry Cube (CUSA16074) Aibeya (CUSA17068) Hamidashi Creative (CUSA27389) Hamidashi Creative Demo (CUSA27390): requiere el firmware más reciente para descargar desde PSN Aikagi Kimi to Issho ni Pack (CUSA16229) Aikagi 2 (CUSA19556) PS Remote Lua Loader es una aplicación creada por Master-s.
    • PS5 SELF Decrypter
      Por Dekuwa
      PS5 SELF Decrypter es un payload que utiliza lectura/escritura arbitraria del núcleo para descifrar archivos ELF firmados (SELF) del sistema de archivos y volcar los archivos ELF de texto simple a una unidad USB.
      Notas
      Reemplaza las macros PC_IP y PC_PORT en las líneas 24-25 con la IP/puerto de tu servidor TCP Se recomienda que uses el registro para saber cuánto ha avanzado la carga útil o si se ha estancado Conecta una unidad USB compatible a la PS5 con al menos 1 GB de espacio libre antes de ejecutarla Los archivos se volcarán a [raíz USB]/PS5/ Debería ser compatible con 3.xx-4.xx, pero no se ha probado en todos los firmwares (abre un problema si hay algún problema) Actualmente, la carga útil asume un estado previo al jailbreak (es decir, sandbox escapado), agregar el código de jailbreak aquí es una tarea pendiente Si notas que la actividad de registro se ha detenido durante más de un minuto, apaga la PS5 con el botón de encendido durante tres pitidos y reinicia la consola y vuelve a ejecutarla La consola puede entrar en pánico en medio del volcado de archivos, esto está bien, reinicia la consola y vuelve a ejecutarla La carga útil retomará donde se quedó y continuará volcándose desde donde se detuvo Anteriormente Se aceptan mejoras para que la carga sea menos defectuosa PS5 SELF Decrypter ha sido creado por ildesauce.
×
×
  • Crear nuevo...