naehrwert's Exploiting (?) lv2

Archivado
he visto esto en el twitter de naehrwert y parece interesante, posible exploit en el lv2?

A long while ago KaKaRoTo pointed me to a stack overflow he found while reversing lv2_kernel. But there are two problems:

The vulnerability is in a protected syscall (the SELF calling it got to have the 0×40… control flags set). So you’d first need to find a suitable usermode exploit (don’t ask us), that gives you code execution with the right privileges.
The payload data is copied to lv2 heap first and the function will do a free call on it before the payload has any chance to get executed. This might not sound like a problem but it looks like lv2′s heap implementation will overwrite the free’ed space with 0xABADCAFE and thus destroy the payload.
Here is my sample implementation for 3.41 lv2_kernel (although the vulnerability should be present in all versions of lv2 up to the latest firmware), maybe someone of you will find a way to overcome problem (2.) and can get something nice out of it because right now it’s only good to crash lv2.

http://nwert.wordpress.com/2012/09/19/exploiting-lv2/

traduccion google (se entiende bien)

Hace un tiempo largo Kakaroto me señaló a un desbordamiento de pila que encontró durante la marcha atrás lv2_kernel. Pero hay dos problemas:

La vulnerabilidad se encuentra en una llamada al sistema protegido (el llamado SELF llegó a tener el 0 × 40 ... control conjunto de las banderas). Así que en primer lugar había que encontrar un modo de usuario apropiado exploit (no nos pida), que le da a la ejecución de código con los privilegios adecuados.
La carga útil de datos se copia en lv2 montón primera y la función va a hacer una llamada gratuita para que antes de la carga útil tiene alguna oportunidad de ser ejecutado. Esto puede no sonar como un problema, pero parece que la aplicación lv2 montón de sobrescribirá el espacio free'ed con 0xABADCAFE y así destruir la carga útil.
Aquí está mi ejemplo de implementación de 3,41 lv2_kernel (aunque la vulnerabilidad debe estar presente en todas las versiones de lv2 hasta el último firmware), tal vez alguien de ustedes encontrarán una manera de superar el problema (2.) y puede conseguir algo bonito fuera de ella porque en este momento es sólo bueno para dormir lv2.
Pero no dice que verion de firmware ha encontrado el fallo de seguridad :-?
Sí lo dice, en 3.41, aunque presupone que serviría para todos los firmwares hasta el actual, pero anima a alguien a probarlo porque él no lo ha hecho.
A mi lo que no me queda muy claro es para qué sirve.
jotaeme81 escribió:Sí lo dice, en 3.41, aunque presupone que serviría para todos los firmwares hasta el actual, pero anima a alguien a probarlo porque él no lo ha hecho.
A mi lo que no me queda muy claro es para qué sirve.


El firmware 3.41 traía muchas vulnerabilidades haciendo que la seguridad de la máquina quedase al descubierto, si se reconstruye desde 3.41... ¡¡¡TACHÁN!!! (eso si, a ver quién es el guapo que le echa huevos)
Por lo que se lee, han encontrado un exploit en LV2 el cual en las versiones actuales no esta tapado. el problema es que nadie a dia de hoy ha sido capaz de explotarlo, solo este usuario y ha hecho las pruebas desde 3.41 que es bastante mas fácil que desde 4.25

Estar, esta ahi, usarse, seguramente con paciencia y a base de pruebas que pueda usar en 4.25. tampoco dice que utilidad real tiene el exploit, cargar codigo sin firmar en modo kernel? si fuera asi se volveria a abrir la scene en 4.25 pero no dice que permisos ni que explota exactamente este exploit
A ver como avanza en tema...
La historia esta en poder ejecutarlo antes del payload
otro exploit en lv2 funcionando hasa 4.20 segun el autor kdbest

http://www.ps3hax.net/2012/09/another-l ... m-kdsbest/
7 respuestas
Archivado
Volver a Scene