Antwort schreiben  Thema schreiben 
Seiten (2): « Erste [1] 2 Nächste > Letzte »
Verfasser Nachricht
SkyleN
Junior Mitglied
**


Beiträge: 35
Gruppe: User
Registriert seit: Jan 2012

Status: Offline
Danke erhalten: 3
Beitrag: #1
xGames  Exploit Hunting

Hallou ich hoffe jemand kennt sich aus Big Grin

(das obere ist das Savegame im HexEditor Big Grin)


1. Wie man hier sieht hab ich die Kontrolle über den Register $a3,.
Um das in ein Exploit zu verwandeln brauche ich noch die Kontrolle von $a1. <---- FALSCH!


Kann ich jetzt unabhängig davon das am Anfang der Register $a3 den Crash verursacht, an einer anderen Stelle im Savegame nach einem Ort suchen, wo ich $a1 kontrollieren kann?


Oder muss ich versuchen alle nötigen Register mit einem Crash zu kontrollieren?

2. Ich habe sehr oft gelesen das man in dem Spielernamen nach Crash´s suchen soll...
Warum eigentlich?... Ich hab einfach irgendwo im Savegame ein paar "AAAAAAAAA" rein gehämmert und geguckt was passiert.
Ist es überhaupt möglich Exploits auf diese Weise zu finden?
Thx im voraus!

MFG... SkyleN

Dieser Beitrag wurde zuletzt bearbeitet: 20.05.2014 19:31 von SkyleN.

20.05.2014 18:17
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
dx3m
Manta
*


Beiträge: 490
Gruppe: Developer
Registriert seit: Aug 2010

Status: Abwesend
Danke erhalten: 643
Beitrag: #2
xGames  RE: Exploit Hunting

Darf ich einmal fragen wieso du die Kontrolle über den 2. Argument Register haben willst?

Die PSP hier crasht ja nur, da 0x19D24B64 keine gültige Adresse ist, und versucht von eben dieser ungültigen Adresse ein Word zu laden.

Wenn du einmal einen Disassembly Code Posten könntest, könnten wir rausfinden wieso das die PSP Crasht.

Also einen Exploit wirst du daraus nicht machen können, da du dafür die "Return-Address" Register ($ra) überschreiben müsstest!

EDIT:

SkyleN :
2. Ich habe sehr oft gelesen das man in dem Spielernamen nach Crash´s suchen soll...
Warum eigentlich?... Ich hab einfach irgendwo im Savegame ein paar "AAAAAAAAA" rein gehämmert und geguckt was passiert.
Ist es überhaupt möglich Exploits auf diese Weise zu finden?
Thx im voraus!

Der Spielername wird während der Ausführung in einen Buffer im RAM abgelegt. Dieser Buffer hat aber eine bestimmte Größe. Ein String wiederum endet erst bei einem Nullbyte. Läd man einen zu langen String in den Buffer läuft dieser über (Buffer Overflow). Dadurch zerstörst du den Stack und überschreibst die "Return-Address", also das $ra Register. Nach Ende einer bestimmten Funktion wird einfach zu der Return-Address gesprungen. Durch einen Überlangen String erzeugst du eben einen Buffer Overflow und wenn das passiert kannst du eben auf deine eigene Return Adresse springen. Dadurch kannst du unsignierten Code ausführen, aber eben nur Usermode.

Dieser Beitrag wurde zuletzt bearbeitet: 20.05.2014 18:47 von dx3m.

20.05.2014 18:32
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Folgende User bedanken sich:
SkyleN (May-20-2014)
SkyleN
Junior Mitglied
**


Beiträge: 35
Gruppe: User
Registriert seit: Jan 2012

Status: Offline
Danke erhalten: 3
Beitrag: #3
xGames  RE: Exploit Hunting

hmm schade, hab ich wohl was falsch verstanden Sad

und ja ich kann den code posten

EDIT:
hir ist der code:

Spoiler: (anzeigen)
Crash line:
0x0883E1C8: 0x8CA50000 '....' - lw $a1, 0($a1)
mein Gehirn sagt "lw" = "load word"
und "jr ra" ist kurz nach dem Crash. Mein Gehirn sagt das ist gut Big Grin

Zitat:
Der Spielername wird während der Ausführung in einen Buffer im RAM abgelegt. Dieser Buffer hat aber eine bestimmte Größe. Ein String wiederum endet erst bei einem Nullbyte. Läd man einen zu langen String in den Buffer läuft dieser über (Buffer Overflow). Dadurch zerstörst du den Stack und überschreibst die "Return-Address", also das $ra Register. Nach ende einer bestimmten funktion wird einfach zu der Return-Address gesprungen.


aber es kann auch funktionieren wenn ich "AAAAAA" irgendwo rein schmeiße? ... Ich muss nur glück haben un ra$ treffen, richtig? ...
aber es muss doch auch noch andere Wege geben an $ra zu kommen.

Dieser Beitrag wurde zuletzt bearbeitet: 20.05.2014 19:21 von SkyleN.

20.05.2014 18:41
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
dx3m
Manta
*


Beiträge: 490
Gruppe: Developer
Registriert seit: Aug 2010

Status: Abwesend
Danke erhalten: 643
Beitrag: #4
xGames  RE: Exploit Hunting

Du kannst 256 Bytes mit einen A ins Savegame pumpen.
Wenn du einen Crash hast und bei dem "Return-Address" Register "0x41414141" steht dann du schon Gewonnen. Sonst hast du keine Chance.

Wie gesagt, die PSP crasht eben beim LoadWord weil die Adresse ungültig ist woher er das Word laden will. Ausserdem hat das LoadWord(lw) und JmpReg (jr) keinen zusammenhang.

20.05.2014 19:11
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Folgende User bedanken sich:
SkyleN (May-20-2014)
SkyleN
Junior Mitglied
**


Beiträge: 35
Gruppe: User
Registriert seit: Jan 2012

Status: Offline
Danke erhalten: 3
Beitrag: #5
xGames  RE: Exploit Hunting

dx3m :
Du kannst 256 Bytes mit einen A ins Savegame pumpen.
Wenn du einen Crash hast und bei dem "Return-Address" Register "0x41414141" steht dann du schon Gewonnen. Sonst hast du keine Chance.

Wie gesagt, die PSP crasht eben beim LoadWord weil die Adresse ungültig ist woher er das Word laden will. Ausserdem hat das LoadWord(lw) und JmpReg (jr) keinen zusammenhang.


Ich erinnere mich das hier gelesen zu haben:

Zitat:
wenn man einen Register in einer Crashline kontrolliert, und nach dem Crash zu $ra gesprungen wird, ist der Crash zu 99% exploitable.


...wenn du möchtest kann ich dir per PM den Link zu dem Tut. schicken Big Grin

Dieser Beitrag wurde zuletzt bearbeitet: 20.05.2014 19:19 von SkyleN.

20.05.2014 19:18
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
fkrone
*meow*
**


Beiträge: 3.421
Gruppe: Super Moderator
Registriert seit: Dec 2009

Status: Offline
Danke erhalten: 5342
Beitrag: #6
xGames  RE: Exploit Hunting

SkyleN :

dx3m :
Du kannst 256 Bytes mit einen A ins Savegame pumpen.
Wenn du einen Crash hast und bei dem "Return-Address" Register "0x41414141" steht dann du schon Gewonnen. Sonst hast du keine Chance.

Wie gesagt, die PSP crasht eben beim LoadWord weil die Adresse ungültig ist woher er das Word laden will. Ausserdem hat das LoadWord(lw) und JmpReg (jr) keinen zusammenhang.


Ich erinnere mich das hier gelesen zu haben:

Zitat:
wenn man einen Register in einer Crashline kontrolliert, und nach dem Crash zu $ra gesprungen wird, ist der Crash zu 99% exploitable.


...wenn du möchtest kann ich dir per PM den Link zu dem Tut. schicken Big Grin


Das alles ist ja schön und gut. Aber ich erkläre dir einfach mal was hier passiert:
Du versuchst von einer ungültigen Adresse etwas in $a1 zu schreiben. Schön und gut. Würde es normal durch laufen, so springst du danach auf die Adresse, die in $ra steht.
Damit hier etwas exploitable ist müsstest du schon so etwas wie

Code:
addi $ra, $a3, 0

oder so was danach haben (wusste auf die Schnelle nicht die Syntax vom Pseudobefehl move). Aber da du maximal etwas in $a3 machen kannst und nicht beeinflussen kannst, wohin gesprungen wird, kannst du damit nix anfangen.
Und du kannst in der Hinsicht dx3m und mir trauen. Er ist jemand, den ich was MIPS angeht sehr schätze und ich hatte dieses Semester im Studium MIPS Wink

Edit: kleine Verwirrung. Bin wohl etwas zu müde ...

Dieser Beitrag wurde zuletzt bearbeitet: 20.05.2014 19:38 von fkrone.

20.05.2014 19:23
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Folgende User bedanken sich:
SkyleN (May-20-2014)
SkyleN
Junior Mitglied
**


Beiträge: 35
Gruppe: User
Registriert seit: Jan 2012

Status: Offline
Danke erhalten: 3
Beitrag: #7
xGames  RE: Exploit Hunting

fkrone :
Das alles ist ja schön und gut. Aber ich erkläre dir einfach mal was hier passiert:
Du versuchst von einer ungültigen Adresse etwas in $a1 zu schreiben. Schön und gut. Würde es normal durch laufen, so springst du danach auf die Adresse, die in $ra steht.
Damit hier etwas exploitable ist müsstest du schon so etwas wie

Code:
addi $ra, $a1, 0

oder so was danach haben (wusste auf die Schnelle nicht die Syntax vom Pseudobefehl move). Aber da du maximal etwas in $a1 machen kannst und nicht beeinflussen kannst, wohin gesprungen wird, kannst du damit nix anfangen.
Und du kannst in der Hinsicht dx3m und mir trauen. Er ist jemand, den ich was MIPS angeht sehr schätze und ich hatte dieses Semester im Studium MIPS Wink


Naaaguuuut Big Grin


Zitat:
Kann ich jetzt unabhängig davon das am Anfang der Register $a3 den Crash verursacht, an einer anderen Stelle im Savegame nach einem Ort suchen, mit dem ich $a1 kontrollieren kann?


und was meint ihr dazu?

(sry für den Doppelpost, würde das gerne beheben, kann ich aber leider nicht Sad)

Dieser Beitrag wurde zuletzt bearbeitet: 20.05.2014 19:40 von SkyleN.

20.05.2014 19:30
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
dx3m
Manta
*


Beiträge: 490
Gruppe: Developer
Registriert seit: Aug 2010

Status: Abwesend
Danke erhalten: 643
Beitrag: #8
xGames  RE: Exploit Hunting

Vergiss die Argument-Register!

Such dir ein Spiel wo man Namen eingeben kann. Und versuch das du einfach ein paar Zeichen anhängst. Auf wololo gibt es ein Tutorial wie du von 0 zum Exploit kommst. Musst aber berücksichtigen das du erstmal das richtige Spiel finden.

Kleiner Tipp:
Such im PSN Store nach Mini's. Da gibt es einige Spiele die unausreichend in der Sicherheit sind.
Brauchst nur das nötige Kleingeld und den richtigen Riecher.

Wirst schon was finden. Wink

20.05.2014 19:46
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Folgende User bedanken sich:
SkyleN (May-20-2014)
SkyleN
Junior Mitglied
**


Beiträge: 35
Gruppe: User
Registriert seit: Jan 2012

Status: Offline
Danke erhalten: 3
Beitrag: #9
xGames  RE: Exploit Hunting

naja ... wie man sieht hab ich noch viel zu wenig Ahnung Big Grin ...
aber ich komme zurück wenn ich das alles drauf hab!

hast du es schon geschafft einen Exploit zu finden der auch auf der vita läuft?
es solln ja 10% der games exploitbar sein.
Kann ich mir irgendwie nicht vorstellen o.O

Dieser Beitrag wurde zuletzt bearbeitet: 20.05.2014 20:22 von SkyleN.

20.05.2014 20:20
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Shana-chan
Developer
**


Beiträge: 2.834
Gruppe: Datenpfleger
Registriert seit: Feb 2011

Status: Abwesend
Danke erhalten: 1997
Beitrag: #10
xGames  RE: Exploit Hunting

SkyleN :
naja ... wie man sieht hab ich noch viel zu wenig Ahnung Big Grin ...
aber ich komme zurück wenn ich das alles drauf hab!

hast du es schon geschafft einen Exploit zu finden der auch auf der vita läuft?
es solln ja 10% der games exploitbar sein.

Kann ich mir irgendwie nicht vorstellen o.O


Durchaus hat er das, ist aber auch keine Zauberrei.
Zu deinen 10% das sind definitiv mehr, man kann fast sagen jedes dritte Mini hat ein Explooit.



MyAnimeList
[img ]http://abload.de/img/twins1sicr1.png[/img][/url]
20.05.2014 21:42
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
SkyleN
Junior Mitglied
**


Beiträge: 35
Gruppe: User
Registriert seit: Jan 2012

Status: Offline
Danke erhalten: 3
Beitrag: #11
xGames  RE: Exploit Hunting

Shana-chan :
man kann fast sagen jedes dritte Mini hat ein Explooit

ich durchstöber grade die minis...ich konnte bis jetzt kein Game finden bei den man einen Playernamen eingeben kann Big Grin ...
entweder ich bin zu müde, oder du übertreibst mit deiner aussage
EDIT:
1 Minute später und schuuubs hab ich eins gefunden Big Grin

Dieser Beitrag wurde zuletzt bearbeitet: 20.05.2014 22:10 von SkyleN.

20.05.2014 22:02
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
dx3m
Manta
*


Beiträge: 490
Gruppe: Developer
Registriert seit: Aug 2010

Status: Abwesend
Danke erhalten: 643
Beitrag: #12
xGames  RE: Exploit Hunting

Kannst dich ja gerne Melden wenn du Hilfe brauchst.
Und könntest du den Crash Dump posten?
Möcht das gerne mal sehen.

Viel Glück noch!

21.05.2014 22:32
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Folgende User bedanken sich:
SkyleN (May-22-2014)
SkyleN
Junior Mitglied
**


Beiträge: 35
Gruppe: User
Registriert seit: Jan 2012

Status: Offline
Danke erhalten: 3
Beitrag: #13
xGames  RE: Exploit Hunting

Wenn du mir sagst was du mit Crash Dumb meinst xD

Ich hab jetzt das Buch " Hacking the Art of exploits "
Und versteh jetzt schon etwas mehr ;D

Dieser Beitrag wurde zuletzt bearbeitet: 22.05.2014 12:52 von SkyleN.

22.05.2014 12:39
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
dx3m
Manta
*


Beiträge: 490
Gruppe: Developer
Registriert seit: Aug 2010

Status: Abwesend
Danke erhalten: 643
Beitrag: #14
xGames  RE: Exploit Hunting

Das ist das Bild das du als aller erstes gepostet hast.
Nur halt jetzt mit dem neuen Spiel und überschriebenen $RA Register.

24.05.2014 03:34
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
SkyleN
Junior Mitglied
**


Beiträge: 35
Gruppe: User
Registriert seit: Jan 2012

Status: Offline
Danke erhalten: 3
Beitrag: #15
xGames  RE: Exploit Hunting

Ich hab mit dem Spiel leider kein Crash hin bekommen. Der Spielername verlängert sich nur und überschreibt ein paar andere Texte im Spiel.
Muss mir wohl ein neues suchen

EDIT:

Hir neues Spiel... aber auch kein Erfolg Sad

Spoiler: (anzeigen)


EDIT:

GESCHAFFT! endlich!.
wollte grade aufgeben und an schon gefundenen Exploit Games üben. Big Grin
Aber dann hatte ich doch Erfolg!

Spoiler: (anzeigen)
Nur verwirrt mich EPC ein bisschen o.O
EDIT:
okay habs mit EPC schon kapiert xD

Dieser Beitrag wurde zuletzt bearbeitet: 29.05.2014 16:27 von SkyleN.

25.05.2014 11:35
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Seiten (2): « Erste [1] 2 Nächste > Letzte »
Antwort schreiben  Thema schreiben 

Möglicherweise verwandte Themen...
Thema: Verfasser Antworten: Ansichten: Letzter Beitrag
xPSP Kernel Exploit fener98 22 5.767 20.05.2011 17:57
Letzter Beitrag: PSP_Lord
xPSP Neuer Savegame Exploit by mrmrm Fly Destination 11 3.385 08.01.2011 18:43
Letzter Beitrag: Fly Destination
xPSP CODE_R3D hat vielleicht einen neuen Tiff-Exploit gefunden Mishka84 2 1.706 20.11.2010 20:07
Letzter Beitrag: Mishka84
xPSP [Exploit?] Crashes PSP on every FW -blue7 7 2.654 13.07.2010 21:00
Letzter Beitrag: RainMan
xPSP [TUT-2] Binarys fürs TIFF Exploit HacKmaN 4 2.358 26.03.2010 19:55
Letzter Beitrag: HacKmaN

Druckversion anzeigen
Thema einem Freund senden
Thema abonnieren | Thema zu den Favoriten hinzufügen




» zum Seitenanfang