هاك PS4 / PS5 عبر PS2 Emulator
نشر لأول مرة: 14 سبتمبر 2022
في هذه المقالة ، سأشرح كيف تمكنت من الهروب من محاكي PS2 الذي تم تطويره من أجل PlayStation 4. راجع أيضًا الجزء 2 (القادم) ، الذي يغطي الجزء التالي من سلسلة الاستغلال ، وإجابة PlayStation على البحث.
بالنسبة للصبر ، يتم تقديم مقطع فيديو توضيحي للجزء الأول من هذه القناة لاحقًا في هذه المقالة.
لاحظ أنه تم اكتشاف هذه الثغرات الأمنية والإبلاغ عنها في أيلول (سبتمبر) 2021 ، ولكن لا يمكنني نشرها إلا الآن.
لقد مر وقت طويل منذ أن عملت على اختراق حديث لـ PlayStation ، ولكن مع إصدار PS5 وإدخال برنامج مكافآت الأخطاء في PlayStation ، كنت متحمسًا لمحاولة نوع من التسلل من الاختراقات. استغلال قد ينجح على PS5.
قررت مهاجمة محاكي PS2 ، والذي تبين أنه هدف جذاب للغاية لعدة أسباب:
سيسمح الهروب منه بتشغيل ألعاب PS2 المقرصنة على PS4 و PS5 وربما أيضًا خدمة ألعاب PSN السحابية.
يعد هذا مفيدًا بشكل خاص لأن الوصول إلى تشغيل مجموعة فرعية من ألعاب PS2 المتاحة رسميًا على هذه الأنظمة الأساسية يتم تحصيله من المستوى الأعلى لخدمة الاشتراك الجديدة في PlayStation.
يعد محاكي PS2 أحد آخر رموز JIT المميزة المتبقية على PS5.
أزالت Sony بقوة سطح هجوم JIT ذي الامتيازات من PS5 ، مما أدى إلى تعطيل JIT في كل من متصفح الويب ومشغل BluRay. نظرًا لأن محاكي PS2 هو حقًا عنوان PS4 عامل نظرًا للتوافق مع الإصدارات السابقة ، لم يتمكنوا من إجراء أي تغييرات على البرنامج ، لذلك كان لابد من تجنب امتياز JIT الخاص به.
يعني الحصول على امتياز JIT أن اختراق المحاكي بالكامل ، بما في ذلك العملية المشتركة للمجمع ، سيسمح بالقدرة على تشغيل كود أصلي عشوائي تمامًا (وليس فقط ROP) على PS4 / PS5 دون الحاجة إلى من أجل استغلال النواة. سيكون هذا مفيدًا بشكل خاص على PS5 نظرًا لأن برنامج Hypervisor الذي تم تقديمه حديثًا يتطلب أن تكون صفحات الرموز (كل من المستخدم والنواة) غير قابلة للقراءة ، وليس لدي الصبر لمحاولة كتابة استغلال مرة أخرى لتفريغ النواة العمياء كما فعلت عندما قمت بالتنقل BadIRET إلى PS4 دون تفريغ النواة.
من خلال تنفيذ تعليمات برمجية عشوائية في عملية لعبة PS4 ، يمكن تنفيذ برامج البيرة المنزلية ، بما في ذلك محاكيات JIT المحسّنة ، وربما حتى بعض ألعاب PS4 التجارية المقرصنة في هذا السياق.
وفقًا لنموذج أمان PlayStation ، من المستحيل تصحيحه بشكل أساسي.
بمجرد وصولك إلى لعبة قابلة للاستغلال (رقمية أو مادية) ، سيكون من الصعب للغاية على PlayStation إزالة وصولك.
تم تصميم وحدة التحكم فقط لتطبيق تحديثات نظام التشغيل ، ولكن ليس لديها آلية لتطبيق تصحيحات اللعبة ؛ على سبيل المثال: لا يزال من الممكن تشغيل الإصدارات القديمة من الألعاب على أحدث إصدار من نظام التشغيل:
بالنسبة للألعاب المادية ، يمكنك تشغيلها دون البحث عن التحديثات أولاً.
بالنسبة للألعاب الرقمية ، يمكنك الرجوع إلى إصدار سابق عن طريق إنشاء وكيل لحركة مرور PSN (وهو HTTP فقط ، بدلاً من HTTPS للحفظ من جانب الخادم).
تم تصميمه بهذه الطريقة لأنه لا يمكن تحميل PlayStation مسؤولية أمان ألعاب الجهات الخارجية (خاصة تلك المرتبطة بشكل ثابت بالإصدارات القديمة من WebKit). يركز نموذج الأمان الخاص بهم بدلاً من ذلك على تأمين الطبقات ذات الامتيازات العليا للمنصة (kernel و hypervisor على PS5) ، والتي تعمل على افتراض أن الألعاب معرضة للخطر.
تفسيري هو أن وجود الألعاب ذات الامتيازات الخاصة ، مثل محاكي PS2 JIT ، ينتهك بشكل أساسي نموذج الأمان الخاص بها لأنه يترك رمزًا مميزًا بدون آليات متاحة بسهولة لإصلاح الثغرات الأمنية المحتملة في المستقبل.
بالإضافة إلى ذلك ، قررت PlayStation مضاعفة نموذج الأمان هذا من خلال عدم إزالة ألعاب PS2 المعروفة والقابلة للاستغلال من المتجر. لهذه الأسباب ، أشعر بالراحة عند وصف هذا السيناريو بأنه "مستحيل الإصلاح" ، على الرغم من أنه قد لا يكون من الناحية الفنية دقيقًا تمامًا.
PS2 Emulator Anatomy. تشريح محاكي PS2
ينقسم المحاكي إلى عمليتين منفصلتين: عملية التطبيق الرئيسية (eboot.bin) وعملية المترجم الفرعي (ps2-emu-compile ...
في هذه المقالة ، سأشرح كيف تمكنت من الهروب من محاكي PS2 الذي تم تطويره من أجل PlayStation 4. راجع أيضًا الجزء 2 (القادم) ، الذي يغطي الجزء التالي من سلسلة الاستغلال ، وإجابة PlayStation على البحث.
بالنسبة للصبر ، يتم تقديم مقطع فيديو توضيحي للجزء الأول من هذه القناة لاحقًا في هذه المقالة.
لاحظ أنه تم اكتشاف هذه الثغرات الأمنية والإبلاغ عنها في أيلول (سبتمبر) 2021 ، ولكن لا يمكنني نشرها إلا الآن.
لقد مر وقت طويل منذ أن عملت على اختراق حديث لـ PlayStation ، ولكن مع إصدار PS5 وإدخال برنامج مكافآت الأخطاء في PlayStation ، كنت متحمسًا لمحاولة نوع من التسلل من الاختراقات. استغلال قد ينجح على PS5.
قررت مهاجمة محاكي PS2 ، والذي تبين أنه هدف جذاب للغاية لعدة أسباب:
سيسمح الهروب منه بتشغيل ألعاب PS2 المقرصنة على PS4 و PS5 وربما أيضًا خدمة ألعاب PSN السحابية.
يعد هذا مفيدًا بشكل خاص لأن الوصول إلى تشغيل مجموعة فرعية من ألعاب PS2 المتاحة رسميًا على هذه الأنظمة الأساسية يتم تحصيله من المستوى الأعلى لخدمة الاشتراك الجديدة في PlayStation.
يعد محاكي PS2 أحد آخر رموز JIT المميزة المتبقية على PS5.
أزالت Sony بقوة سطح هجوم JIT ذي الامتيازات من PS5 ، مما أدى إلى تعطيل JIT في كل من متصفح الويب ومشغل BluRay. نظرًا لأن محاكي PS2 هو حقًا عنوان PS4 عامل نظرًا للتوافق مع الإصدارات السابقة ، لم يتمكنوا من إجراء أي تغييرات على البرنامج ، لذلك كان لابد من تجنب امتياز JIT الخاص به.
يعني الحصول على امتياز JIT أن اختراق المحاكي بالكامل ، بما في ذلك العملية المشتركة للمجمع ، سيسمح بالقدرة على تشغيل كود أصلي عشوائي تمامًا (وليس فقط ROP) على PS4 / PS5 دون الحاجة إلى من أجل استغلال النواة. سيكون هذا مفيدًا بشكل خاص على PS5 نظرًا لأن برنامج Hypervisor الذي تم تقديمه حديثًا يتطلب أن تكون صفحات الرموز (كل من المستخدم والنواة) غير قابلة للقراءة ، وليس لدي الصبر لمحاولة كتابة استغلال مرة أخرى لتفريغ النواة العمياء كما فعلت عندما قمت بالتنقل BadIRET إلى PS4 دون تفريغ النواة.
من خلال تنفيذ تعليمات برمجية عشوائية في عملية لعبة PS4 ، يمكن تنفيذ برامج البيرة المنزلية ، بما في ذلك محاكيات JIT المحسّنة ، وربما حتى بعض ألعاب PS4 التجارية المقرصنة في هذا السياق.
وفقًا لنموذج أمان PlayStation ، من المستحيل تصحيحه بشكل أساسي.
بمجرد وصولك إلى لعبة قابلة للاستغلال (رقمية أو مادية) ، سيكون من الصعب للغاية على PlayStation إزالة وصولك.
تم تصميم وحدة التحكم فقط لتطبيق تحديثات نظام التشغيل ، ولكن ليس لديها آلية لتطبيق تصحيحات اللعبة ؛ على سبيل المثال: لا يزال من الممكن تشغيل الإصدارات القديمة من الألعاب على أحدث إصدار من نظام التشغيل:
بالنسبة للألعاب المادية ، يمكنك تشغيلها دون البحث عن التحديثات أولاً.
بالنسبة للألعاب الرقمية ، يمكنك الرجوع إلى إصدار سابق عن طريق إنشاء وكيل لحركة مرور PSN (وهو HTTP فقط ، بدلاً من HTTPS للحفظ من جانب الخادم).
تم تصميمه بهذه الطريقة لأنه لا يمكن تحميل PlayStation مسؤولية أمان ألعاب الجهات الخارجية (خاصة تلك المرتبطة بشكل ثابت بالإصدارات القديمة من WebKit). يركز نموذج الأمان الخاص بهم بدلاً من ذلك على تأمين الطبقات ذات الامتيازات العليا للمنصة (kernel و hypervisor على PS5) ، والتي تعمل على افتراض أن الألعاب معرضة للخطر.
تفسيري هو أن وجود الألعاب ذات الامتيازات الخاصة ، مثل محاكي PS2 JIT ، ينتهك بشكل أساسي نموذج الأمان الخاص بها لأنه يترك رمزًا مميزًا بدون آليات متاحة بسهولة لإصلاح الثغرات الأمنية المحتملة في المستقبل.
بالإضافة إلى ذلك ، قررت PlayStation مضاعفة نموذج الأمان هذا من خلال عدم إزالة ألعاب PS2 المعروفة والقابلة للاستغلال من المتجر. لهذه الأسباب ، أشعر بالراحة عند وصف هذا السيناريو بأنه "مستحيل الإصلاح" ، على الرغم من أنه قد لا يكون من الناحية الفنية دقيقًا تمامًا.
PS2 Emulator Anatomy. تشريح محاكي PS2
ينقسم المحاكي إلى عمليتين منفصلتين: عملية التطبيق الرئيسية (eboot.bin) وعملية المترجم الفرعي (ps2-emu-compile ...
What's Your Reaction?
