kernel exploit

La scène avance pour étendre l'exploitation du point d'entrée Lua jusqu'au firmware 10.40. Pour rappel, il s'agit là d'exploiter une sauvegarde PS4 des jeux compatibles mentionnés dans le guide vers une PS5 et ce, via une PS4 jailbreak pour exporter une save re-signée avec un même compte (ou autre moyen pour signer la save via le serveur discord HTOS dédié). Les sauvegardes PS5 peuvent aussi être importées avec une sauvegarde système si votre console n'est pas jailbreak. Le développeur @Master-S propose cela via son compte X ! Pour chaque méthode, il y a des recommandations à observer !

Le développeur @EchoStretch propose la portabilité des firmware 8.xx à 10.xx pour PS5-SELF-Decrypter, un payload qui utilise la lecture/écriture arbitraire du kernel pour déchiffrer les ELF signés (SELF) du système de fichiers et dumper le ELF en texte brut sur clé USB.

Les offsets pour 8.xx et 10.00/10.01 ont été ajoutés à Remote Lua Loader. Pour PS4 et PS5 et basé sur une découverte de @gezine, il permet aux jeux développés avec le moteur Artemis de charger des fichiers Lua arbitraires. Ce chargeur est indépendant du firmware et a été testé avec succès sur PS5 Pro 10.40 !

L'exploit Lapse ne sera pris en charge que jusqu’à la version 10.01 et c'est dans ce cadre que le développement avance !

Actualisation, refonte, épuration, modification, ajout d'informations et prise en compte de la nouvelle possibilité de lancer le hack sur le firmware 9.00 sans clé USB (Exploit Kernel Lapse + Webkit PSFree). D'autres firmware viendront bien que les anciennes méthodes fonctionnent sur les firmware concernés pour le jailbreak ! Au dessus de 11.00, patience !

Le développeur Idlesauce met à niveau ses hosts:

• Le Host PS5 - Kernel Exploit - Idlesauce - 3.xx-4.xx
  

  [+] CLIQUER POUR AFFICHER

  Payload mis à jour:
  
  • etaHEN (2.1b)
    
  • websrv (0.23.1)
  
  
  • ftpsrv (0.11.3)
  
  
  • smartrv (0.5.3)
  
  
  • shsrv (0,15)
  
  
  • elfldr (reconstruit avec un SDK plus récent)
  
  
  • gdbsrv (reconstruit avec un SDK plus récent)

  
  
  Host: https://ps5jb.pages.dev/


• Le Host PS5 - UMTX2 - idlesauce - 1.xx-5.xx
  

  [+] CLIQUER POUR AFFICHER

  • Un exploit Kernel et un jailbreak basé sur Webkit avec l'implémentation Lua @shahrilnet et @nullptr.
  
  
  • Prend en charge le firmware PS5 1.00-5.50
  
  
  • Inclut le Payload Menu
  
  
  • Chargement automatique d'elfldr

  
  
  Host: https://umtx2.pages.dev/

Cela avance pour la puce A53 ! Ce n'est que la première étape pour trouver les vulnérabilités exploitables, et les développeurs ont déjà publié pour la plupart des firmwares (3.00 au 7.61). Cela ne vous sera pas utile en l'état mais précieux pour la scène underground et les développements à venir !

[+] CLIQUER POUR AFFICHER

• Dumper MP4.elf @Astrelsky


• Dump des logs MP4 - A53.elf

Lien: mp4dumper.elf

Le développeur @EchoStretch propose une nouvelle version de kstuff Toggle

Lien: kstuff-toggle

Il propose aussi Dump Runner. Il offre la possibilité d’exécuter des jeux homebrews à l'aide de KStuff, Websrv et Homebrew Launcher. Il s'agit d'une alternative à itemzflow et etaHEN mais ne possède pas les mêmes options et fonctionnalités. Cela reste un choix qui s'ajoute. A voir le développement qui s'en suivra. Les comparer, pour le moment, n'est pas vraiment la question et itemzflow reste le bon compromis du moment. Il s'agira de savoir ce que EchoStrech intégrera à son outil.

Lien: Dump Runner

La compatibilité des exploits PSFree et Lapse à venir:

PS4:

• Exploit Webkit: PSFree OFW 6.00 - 9.60
  
• Exploit Kernel: Lapse OFW 1.01 - 12.02

PS5:

• Exploit Webkit: PSFree OFW 1.00 - 5.50


• Exploit Kernel: Lapse OFW 1.00 - 10.01

Les travaux se concentrent essentiellement sur PS4 pour le moment !

Au delà de cela, un aspect important de la scène PS5 avance doucement et il s'agit de la puce A53MM/A53IO. @Zecoxao a indiqué que les accès à la puce permettraient de gérer séparément les packages PS5 (PKG) sur la console. Actuellement, cela limite donc les possibilités de lancement. Le dump du firmware MP4 de la puce a été opérée sur le firmware 4.50 et cela s'étend de 1.00 à 7.61 via un userland et un exploit kernel. Les développeurs pourront exploiter ce dump et envisager des ouvertures si cela est utile !

Source: Dump A53MM/A53IO (MP4)

La compatibilité des exploits PSFree et Lapse à venir:

PS4:

• Exploit Webkit: PSFree OFW 6.00 - 9.60
  
• Exploit Kernel: Lapse OFW 1.01 - 12.02

PS5:

• Exploit Webkit: PSFree OFW 1.00 - 5.50


• Exploit Kernel: Lapse OFW 1.00 - 10.01

Le développeur @Al Azif indique que le portage de l'exploit PSFree sur les firmwares PS4 8.00 à 9.60 est proche d'une réalisation à 99%. Le v1.5.1 est disponible mais inutile de se jeter dessus car tout est en construction, développement et phases de tests !

Ses caractéristiques:

• Auto-detection : détecte automatiquement le type de console et la version du firmware (via src/config.mjs)


• WebKit Exploit (PSFree): Point d'entrée via le navigateur Web de la console


• Kernel Exploit (Lapse): accorde les privilèges au niveau du noyau (kernel).


• Payload Loader: En cours - WIP

ChangeLog v1.5.1

[+] CLIQUER POUR AFFICHER

Ajouts:

• .gitignore pour la sortie kpatch


• Détection automatique du type de console et du firmware dans config.mjs
  
  • Utilisé ailleurs pour déterminer quels décalages/correctifs/chaînes ROP sont utilisés
  
  
  • WIP: Ajout de la prise en charge des versions 8.50-9.60
    
    • Tous les décalages trouvés
    
    
    • Je rencontre un problème. J'ai effacé mes chaînes JOP pour les refaire…
  
  Correctifs
  
  • Appel de lapse.mjs plutôt que code.mjs
  
  
  • Makefile pour les builds kpatch actuellement disponibles
  
  Modifications
  
  • Utilise des emplacements relatifs plutôt qu'absolus
  
  
  • Les binaires kpatch ont été modifiés pour n'être que du shellcode au lieu d'ELF complets
    
    • 5 216 octets à 257 octets
  
  
  • Crée des binaires kpatch avec -Os plutôt que -O
    
    • 257 octets à 233 octets
  
  
  • CHANGELOG.md, README.md, et LICENSE

Ce qu'il reste à faire:

• Intégrer le Payload Loader (Tests sur 8.00-8.03)


• Réécrire les chaînes JOP dans rop/ps4/850.mjs, rop/ps4/900.mjs, et rop/ps4/950.mjs


• lapse.mjs: Définir simplement les bits pour les privilèges JIT


• view.mjs: Prise en charge sur la PS4 et la PS5


• Ajouter la prise en charge de la PS5

Source: https://github.com/Al-Azif/psfree-lapse/releases

Le développeur @EchoStrech propose les versions PS4-HEN-VTX pour les firmwares 12.00 et 12.02 !

Lien: PS4-HEN-VTX

Le développeur @Kameleon alias @kmeps4 , aidé d'autres, travaillent ardemment sur le portage de PSFree pour le firmware 9.00 de la PS4. PSFree est une collection d'exploits pour la console PS4. L'objectif principal est destiné à la PS4 mais ils essaient de rendre les choses possibles sur la PS5. Le portage des deux exploits PSFree (WebKit) et Lapse (kernel) avancent doucement mais surement donc patience !

Source: https://github.com/kmeps4/PSFree

Lorsque le WIP PSFree pour PS4 OFW 9.00 sera finalisé, vous pourrez vous passer de clé USB bien qu'il y a PPPwn jusqu'à la version 11.00. PSFree sur PS4 est prévu du firmware 6.xx au 9.60, et sur PS5 du firmware 1.xx au 5.50. Cela va demander du temps !
Pour la PS4

• Du firmware 8.xx au 9.60, PSFree est présent, donc le portage va être plus rapide. La version 8.00 est déjà finalisée mais reste en phase de tests !


• Du firmware 10.00 au 12.02, il n'y a pas d'exploit webkit, il faudra passer par l'exploit Lua


• Et à partir du 12.50, il n'y a aucun exploit webkit et Kernel, juste l'exploit Lua

Le développeur @abc publie son exploit Lapse (nommé précipitamment Double Free)

[+] CLIQUER POUR AFFICHER

Pour résumer, un exploit Kernel pour PS4 OFW [5.00 à 12.50) et PS5 OFW [1.00 à 10.20).
Cette info demande des explications ^^

D'après les retours, cet exploit fonctionne sur PS5 jusqu'à la version 10.01 (corrigé à partir de la version 10.20) et sur PS4 jusqu'à la version 12.02 (corrigé par Sony sur PS4 à partir de la version 12.50 !)

Le développeur @abc l’indique avec la présence des crochets en début qui signifie prise en charge et la présence des parenthèses en fin qui signifie non pris en charge. Et il apporte cette explication [X, Y) - X <= FW < Y.

Il contient:

[+] CLIQUER POUR AFFICHER

• Patchs minimum pour PS4 8.0x uniquement


• D'autres firmware doivent être portés


• Le noyau r/w doit être porté sur PS5.
  
  • Vous pouvez également porter proc->p_fd, mais rappelez-vous que les champs ont changé dans FreeBSD 11


• Pas d'exploits Hypervisor

Le développement engagera des contributions pour le portage mais il fera exception des enchaînements avec un exploit Hypervisor. Il laisse cela aux fork d’autres développeurs avec toute la chaîne d'exploit. Il ne fera que la démonstration du noyau r/w.

Attention, et sauf erreur de ma part, mais cela n’est pas très clair dans le message en photo ^^
Pour que l'exploit puisse être trigger, il faut un firmware qui supporte l'exploit WebKit PSFree. Cela signifie, pour le moment, qu’il ne pourra être porté de la même manière sur tous les firmware !
Dans tous les cas, cela va au delà de l’exploit UMTX et c’est une bonne nouvelle. À voir la stabilité qu’il offrira.

Lien: psfree-1.5rc1.7z

Le développeur EchoStrech propose les versions PS4-HEN-VTX pour les firmwares 11.02, 11.50 et 11.52 qui seront concernés pour l'exploit Lapse (Kernel). Une autre méthode de jailbreak à venir qui ne se basera pas sur celle-ci !

Le HEN est disponible car les offsets ont été portés dessus et c'est volontaire de l'avoir proposé ainsi avant une méthode détaillée du jailbreak pour les FW 11.02 à 11.52. La scène underground va impliquer que les principaux développeurs soient tous occupés sur les projets du moment et ils sont nombreux. Ainsi, les payloads pourront être portés pour le moment !

Liens:

• PS4-HEN-VTX


• PS4-Payload-SDK

Les développeurs LightningMods, EchoStretch, Zecoxao et d'autres personnes, notamment pour les clés, le Kstuff pour le firmware 5.10 et 5.50 est disponible. Cela signifie que le fichier ELF permettant de lancer le kernel exploit est possible.

Le développeur LightningMods propose une version 2.0B pour etaHEN qui prend en charge KStuff OFW 5.10. Pour l'OFW 5.50, cela reste en développement. Ces derniers firmware sont en phase de tests !
Lien Discord: https://x.com/LightningMods_/status/1894591076364583168

Le développeur Aldostools l'intégre dans son outil PS5 Payloads Mod
Lien: https://github.com/aldostools/ps5-payloads/releases
Le développeur Master-S dans son host:
Lien Host: https://masterps0.github.io/etaHEN/index.html
Ou dans PS5 Homebrew: https://github.com/Master-s/websrv/releases
Il propose aussi PSSocat, un outil en ligne de commande qui permet de rediriger des flux de données.
Lien: https://github.com/Master-s/PSsocat/releases

L'équipe continue de travailler sur les firmwares 6.50 - 7.61. Toutefois, le webkit exploit n'est plus accessible à partir de l'OFW 6.00. Pour les versions 5.00 et 5.02, cela est en attente de recherches et de tests mais ne tardera pas.