luppi escribió:hay mejor foro que este para seguir la investigación?
P.D.: que juego hace falta para lanzar el exploit?
Ferdopa escribió:Jur...
Añadido el cómo lo hizo
http://pastie.org/795944
geohot: well actually it's pretty simple
geohot: i allocate a piece of memory
geohot: using map_htab and write_htab, you can figure out the real address of the memory
geohot: which is a big win, and something the hv shouldn't allow
geohot: i fill the htab with tons of entries pointing to that piece of memory
geohot: and since i allocated it, i can map it read/write
geohot: then, i deallocate the memory
geohot: all those entries are set to invalid
geohot: well while it's setting entries invalid, i glitch the memory control bus
geohot: the cache writeback misses the memory
geohot: and i have entries allowing r/w to a piece of memory the hypervisor thinks is deallocated
geohot: then i create a virtual segment with the htab overlapping that piece of memory i have
geohot: write an entry into the virtual segment htab allowing r/w to the main segment htab
geohot: switch to virtual segment
geohot: write to main segment htab a r/w mapping of itself
geohot: switch back
geohot: PWNED
geohot: and would work if memory were encrypted or had ECC
geohot: the way i actually glitch the memory bus is really funny
geohot: i have a button on my FPGA board
geohot: that pulses low for 40ns
geohot: i set up the htab with the tons of entries
geohot: and spam press the button
geohot: right after i send the deallocate call
Un saludo.
perilla escribió:ferdopa podrias hacer una traduccion del como lo hizo?
![[plas]](/images/smilies/aplauso.gif "Aplausos")
atlantis escribió:Curioso... A la pregunta de por qué ha dejado de buscar las keys:Geohot escribió:@Recep Baltaş said...
George, 2 questions:
1- Why did you give up retireving keys?
2- What do you think about qID's statement?
Thanks.
-------------------------------
because im playing my xbox 360
. 
wifilino escribió:Que envidia me dais algunos con vuestros conocimientos informaticos/electrónicos/inserte-icos... Lastima que un servidor no sepa ni abrir la PS3
Salu2
... ya veras la cantidad de consolas brutal, que mañana resultaran desmontadas y usurpadas ... --ALF-- escribió:perilla escribió:ferdopa podrias hacer una traduccion del como lo hizo?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Geohot: y en realidad es's muy simple
Geohot: i asignar una parte de memoria
Geohot: el uso de map_htab y write_htab, usted puede averiguar la dirección real de la memoria
Geohot: que es una gran victoria, y algo que los deberías hv 'No permitir
Geohot: i llenar el htab con toneladas de entradas que apuntan a ese pedazo de la memoria
Geohot: y desde que se le asignaban, puedo leer el mapa que/escribir
Geohot: entonces, I liberar la memoria
Geohot: todas esas entradas se ponen a inválidos
Geohot: bien mientras ello's creación de entradas no válidas, glitch i el control del bus de memoria
Geohot: la reescritura de la memoria de fallos de memoria caché:)
Geohot: y tengo las entradas permitiendo R / W a un pedazo de la memoria del hipervisor piensa que es cancelar la asignación de
Geohot: entonces puedo crear un segmento virtual con la superposición de htab ese pedazo de memoria que tiene
Geohot: escribir una entrada en el segmento de htab virtual que permite R / W para el segmento principal htab
Geohot: cambiar a la serie de sesiones virtuales
Geohot: escribir a principal segmento htab ar / w asignación de sí mismo
Geohot: volver
Geohot: PWNED
Geohot, y funcionaría si la memoria no se había cifrado o ECC
Geohot: la forma en que realmente falla el bus de memoria es muy gracioso
Geohot: Tengo un botón en mi tablero de FPGA
Geohot: que los pulsos de baja para 40ns
Geohot: i configurar el htab con las toneladas de las entradas
Geohot: spam y pulse el botón
Geohot: justo después de enviar la llamada liberar
emipta escribió:wifilino escribió:Que envidia me dais algunos con vuestros conocimientos informaticos/electrónicos/inserte-icos... Lastima que un servidor no sepa ni abrir la PS3
Salu2
No te preocupes compi, muchos somos unos quemaos
adoro el mundo de la scene
Esperemos que no sea así, y muchos animos a aquellos que os lo estais currando. pabloc escribió:1.- he leido que es con otherOS, verdad?¿
1.1.- si es con otheros, se necesita que se tenga posibilidad de linux, no?
1.2.- si es con linux no valdra para la slim, me equivoco¿?
![[fumando]](/images/smilies/nuevos/fumando.gif "fumando")
Yo lo que me veo mañana es un:
[HILO OFICIAL] Consolas petadas por emocionarse uno con el Exploit
Salu2
boinas21 escribió:jarna3 escribió:la verdad, es bastante simple
pongo un trozo de la memoria
usando map_htab y write_htab, puedes supones la direccion real de la memoria
lo cual es una gran victoria, y algo que el hv no deberia permitia ese trozo de memoria
y desde que la he situado puedo mapearlo para leer/escribir
luego quito la memoria
todas esas entradas quedan invalidas
mientras las marca como invalidas glicheo la memory control bus
el escritor de la cache pierde la memoria
y tengo entradas permitiendo lectura/escritura en un trozo de memoria que el hv piensa que no esta situado
luego creo un segmento virtual htab permitiendosuperponer esa memoria que tengo
escribir una entrada en el segmento virtual htab permitiendo leer/escribir el segmento principal htab
cambiar al segmento vitual
escribibo en el segmento principal htab un mapeo de escritura lectura de el mismo
cambiar otro vez
PWNED
y funcionaria si la memoria estuviese encriptada o tubiese ECC
la manera en que glicheo la memory bus es realmente divertida
tengo un boton en my placa FPGA
que pulsa durante 40ns
preparo el htab con toneladas de entradas
y el spam pulsa el boton
despues de eso envio la llamada no situada
saludos
q buena traduccion...tu eres de habla inglesa no tio? un saludo,
![[qmparto]](/images/smilies/net_quemeparto.gif "Que me parto!")
![[ayay]](/images/smilies/nuevos/sonrojado_ani1.gif "enrojecido")
crazygan escribió:pabloc escribió:1.- he leido que es con otherOS, verdad?¿
1.1.- si es con otheros, se necesita que se tenga posibilidad de linux, no?
1.2.- si es con linux no valdra para la slim, me equivoco¿?
y con respecto a esto?¿?¿
gracias por contestar al punto 2
Usage Instructions:
Compile and run the kernel module.
When the "PRESS THE BUTTON IN THE MIDDLE OF THIS" comes on, pulse the line circled in the picture low for ~40ns.
Try this multiple times, I rigged an FPGA button to send the pulse.
Sometimes it kernel panics, sometimes it lv1 panics, but sometimes you get the exploit!!
If the module exits, you are now exploited.
This adds two new HV calls,
u64 lv1_peek(16)(u64 address)
void lv1_poke(20)(u64 address, u64 data)
which allow any access to real memory.
The PS3 is hacked, its your job to figure out something useful to do with it.
)_XavP_ escribió:Cuando habla de "that pulses low for 40ns" puede ser que sea nivel bajo? 0 voltios o lo que es lo mismo masa? ahora es cuando me decís que es una barbaridad...
