Schlagwort-Archive: exploit

BluuBomb v3

Exploitet den Bluetooth-Stack der Wii U, um Zugriff auf den IOSU-Kernel zu erlangen.

Entwickler GaryOderNichts
Lizenz Unbekannt (Open-Source)
Dateigröße 16,91 kB
Letztes Update

Kernel-Binarys werden nun von der SD-Karte geladen, was deutlich größere Binarys erlaubt. Neu ist ein Wupserver, mit dem sich mithilfe des wupclient verbunden werden kann. Dieser gibt vollen Systemzugriff und ermöglicht die beliebige Ausführung von Befehlen. Ferner gibt die "loadrpx"-Binary nun jedem Titel Regionspatches und volle cos.xml-Rechte.

* Bluubomb now loads kernel binaries from the SD Card. This allows for much larger kernel binaries with more possibilities.
* Added wupserver binary (See README for more info).
* The loadrpx binary (previously loadfile) now comes with region free patches and gives every application full cos.xml permissions.
* Removed load fw.img binary. Use one of the other methods to recover your console and launch a fw.img with a proper fw launcher.
* Don't set SSP mode if it's already disabled to avoid a warning (thanks @linkmauve).

BluuBomb: Neuer IOSU-Exploit nutzt Fehler im Bluetooth-Stack aus

GaryOderNichts hat einen neuen IOSU-Exploit für die Wii U veröffentlicht.

Exploitet den Bluetooth-Stack der Wii U, um Zugriff auf den IOSU-Kernel zu erlangen.

Entwickler GaryOderNichts
Lizenz Unbekannt (Open-Source)
Dateigröße 16,91 kB
Letztes Update

UPDATE: v2 unterstützt Pairing mit Bluetooth-Chips von Intel.

Dieser Exploit nutzt einen Buffer Overflow im Bluetooth-Stack der Wii U aus, um IOSU-Kernel-Zugriff zu erlangen und unsignierten Code auszuführen. Es ist der gleiche Bug, den Nintendo mit der Switch-Firmware 12.0.2 gefixt hatte, aber Gary hat diesen unabhängig vorher selbst entdeckt. Ein voller Write-Up findet sich auf GitHub.

Benötigt werden ein PC mit Bluetooth und Linux (eine VM geht auch). Im Grunde genommen muss der PC nur mit der Wii U gepaired und anschließend eine Kernel-Binary gesendet werden, die wiederum bspw. eine "launch.rpx" von der SD-Karte lädt. Nützlich ist das vor allem für die, die eine Wii U mit eingerichteter Altersbeschränkung gekauft haben und somit nicht mehr den Browser-Exploit nutzen können. Für alle anderen ist der bisherige Weg über den Browser schneller.

Old Browserhax XL für den Old3DS veröffentlicht

Icon für Old Browserhax XL

Browserhax für die Old3DS-Firmware 11.14.0-46.

Entwickler zoogie
Dateigröße 504,46 kB
Letztes Update

Und wieder hat Zoogie einen Browser-Exploit für die aktuelle 3DS-Firmware 11.14.0-46 veröffentlicht. Diesmal nur für den Old3DS, da der New3DS schon bedient wurde.

Einfach den Anweisungen auf der Download-Seite folgen, die darin besteht, ein paar Dateien auf die SD zu kopieren, eine Seite im Browser aufzurufen und ein paar Knöpfe zu drücken. Wer die arm11code.bin mit der universal-otherapp überschreibt, kann auch direkt boot9strap installieren.

Dieser Exploit nutzt einen Use-After-Free Crash, während ein iFrame geparst wird. Mithilfe einer Zeile JavaScript kann ein Objekt von einem iFrame in die darüberliegende Seite verschoben werden, während der iFrame immer noch geparst wird, was den erwähnten Crash auslöst.

Danke an NintendoBrew für den Hinweis!

safecerthax: ARM9 Kernel-Exploit für den Old3DS

Icon für safecerthax

ARM9 Kernel-Exploit für den Old3DS, der ein Versäumnis im SSL-Modul des 3DS ausnutzt.

Nba_Yoh hat seinen ARM9 Kernel-Exploit "safecerthax" publik gemacht. Dieser funktioniert nur auf dem Old3DS auf jeder Firmware und ermöglicht die einfache Installation eines sighax (bspw. boot9strap).

Safecerthax nutzt den Exploit "SSLoth", der ebenfalls von Nba_Yoh stammt und eigentlich mit 11.14 behoben wurde. Das SSL-Systemmodul prüfte die Signatur der TLS-Zertifikatskette nicht, was daran lag, dass Nintendo schlicht vergessen hatte, der benutzten Bibliothek "RSA BSAFE MES" die "R_VERIFY_RES_SIGNATURE" Ressource zu übergeben.

SSL/TLS sind Netzwerkprotokolle zum Verschlüsseln von Daten und stellen mithilfe von Zertifikaten sicher, dass die Inhalte auch vom Server stammen, der angefragt wurde. Das dürfte jedem von HTTPS bekannt sein.

Ohne Verifizierung ist TLS ausgehebelt – jeder kann eigene Zertifikate erstellen und das Gerät hält sie für valide. Das erinnert etwas an den Trucha Bug der Wii.

Safecerthax nutzt hierbei "fake" Update-Server (umgeleitet per DNS), die sich als offizielle Nintendo Update Server ausgeben und vortäuschen, dass ein Update für den 3DS verfügbar wäre (da wie gesagt die TLS-Zertifikate nicht geprüft werden). Der System-Updater fragt beim Update-Server nach der Zertifikatskette der zu installierenden Titel (nicht mit der obigen TLS-Zertifikatskette verwechseln!), die mithilfe des Befehls "PXIAM:ImportCertificates" an Process9 (an den ARM9) weitergegeben wird. Diese Funktion war jedoch anfällig für einen Buffer Overlfow auf dem Heap, der ausgenutzt werden konnte, um unsignierten Code auszuführen. Hier lässt sich über einen weiteren Fehler der ARM11 übernehmen. Beide Fehler wurde mit der NATIVE_FIRM (3DS-Firmware) 5.0.0 behoben

"Eigentlich" sollte dieser Exploit also längst behoben sein. Wie aber bereits von anderen Exploits bekannt aktualisiert Nintendo nie die SAFE_FIRM, also den Recovery-Modus des 3DS. Es wäre auch risikoreich dies zu tun, da ein fehlerhaftes Update sonst einen Brick bedeuten würde. Und so lassen sich diese Fehler in der uralten SAFE_FIRM immer noch ausnutzen.

Nba_Yoh hatte dies übrigens am 10. Juni an Nintendo gemeldet und ganze 12.168 Dollar dafür bekommen.

Die SAFE_FIRM des New3DS basiert allerdings auf der NATIVE_FIRM 8.0.0, was leider bedeutet, dass dieser Exploit nie auf dem New3DS funktionieren wird. Aber mittlerweile gibt es ja genügend Möglichkeiten.

Vereinfacht gesagt: Dateien auf die SD, DNS umstellen, ins Recovery-Menü booten, CFW installieren. Mehr auf unserer Download-Seite!

[UPDATE 2] universal-otherapp v1.1.0 und neuer 3DS Kernel-Exploit -> v1.2.0

Kernel-Exploit-Payload für die Firmware 1.0 bis 11.14 für die einfache Installation von boot9strap.

Entwickler TuxSH
Dateigröße 19,68 kB
Letztes Update

UPDATE, 23:04 Uhr: Natürlich ist der ARM9 Kernel-Exploit schon nutzbar, lediglich Soundhax auf der aktuellen Firmware noch nicht. Der Text wurde entsprechend angepasst, Entschuldigung!

Auch wird der aktuelle Browserhax jetzt unterstützt – dafür eventuell den Payload in "arm11code.bin" umbenennen.

UPDATE 2, 18.12.20, 13:28 Uhr: Soundhax auf > 11.3 war ein Typo.


ORIGINALTEXT:

TuxSH hat seinen universal-otherapp-Payload aktualisiert, welcher jetzt auch die aktuelle 3DS-Firmware 11.14.0 unterstützt. Dabei wurde der Punkt mit dem fehlenden ARM9 Kernel-Exploit entfernt und in die Beschreibung "agbhax" mit aufgenommen.

Und tatsächlich findet sich dieser neue Exploit erst seit heute auf der 3DBrew-Seite. Dabei handelt es sich um einen Bug in AGB_FIRM, der ähnlich wie das gefixte twlhax beim Starten des GBA-Modus funktioniert. Auch ist von soundhax auf der aktuellen Firmware die Rede. Noch ist aber kein Update erschienen, es wird wohl noch ein bisschen dauern. Nba_Yoh plant auch schon großes.

Mit einem ARM9 Kernel-Exploit wird der Modding-Prozess wieder stark vereinfacht. Dafür fällt seedminer weg und mit einem aktualisierten Soundhax hätte man alles schon auf seinem System parat.

universal-otherapp v1.0.1

Kernel-Exploit-Payload für die Firmware 1.0 bis 11.14 für die einfache Installation von boot9strap.

Entwickler TuxSH
Dateigröße 19,68 kB
Letztes Update

Der Payload funktioniert nun korrekt auf 9.3 bis 11.3 und zwei "Farbcodes" wurden hinzugefügt: Wenn der obere Bildschirm weiß ist, startet die Otherapp, wenn der untere rot ist, ist ein Fehler aufgetreten.

* Fix support for 9.3-11.3
* Add more troubleshooting via LCD fill:
* * top screen is filled with white when this otherapp starts running
* * bottom screen is filled with red in case an error happens

New Browserhax XL: New3DS Browserhax für 11.14

Icon für New Browserhax XL

New3DS Browser-Exploit für 11.14.

Entwickler zoogie
Dateigröße 504,18 kB
Letztes Update

Zoogie überrascht uns wieder mit einem neuen New3DS Browser-Exploit für 11.14. In Kombination mit unSAFE_MODE lässt sich somit auch einfach eine CFW installieren. Für den Old3DS soll ebenfalls ein neuer Browser-Exploit folgen.

Bei dem Exploit handelt es sich um einen Stack Smash, der auftritt, wenn ein "@import" für externes CSS ein URL-Fragment (#) am Anfang enthält.

Wie den letzten Exploit wird Nintendo diesen sicherlich schnell beheben; es ist allerdings amüsant anzusehen.

universal-otherapp v1.0.0: Payload zur Installation von boot9strap für 1.0 bis 11.3

Kernel-Exploit-Payload für die Firmware 1.0 bis 11.14 für die einfache Installation von boot9strap.

Entwickler TuxSH
Dateigröße 19,68 kB
Letztes Update

TuxSH hat eine "otherapp.bin" veröffentlicht, in der eine ganze Exploit-Kette gebündelt ist und mit der sich am Ende boot9strap einfach installieren lässt. Das Ganze funktioniert auf der Firmware 1.0 bis 11.3. Safehax wurde mit 11.4 gepatcht.

Immer, wenn eine "otherapp.bin" gebraucht wird, ersetzt einfach die benötigte durch die aus dem Download und packt die SafeB9SInstaller.bin in den Root der SD-Karte. Das war alles! Als Userland-Exploit empfiehlt sich Soundhax, den TuxSH auch an ältere Versionen angepasst hat.

Unter 9.3 wird der klassische memchunkhax1 benutzt, darüber ein neuer, bisher unbekannter Exploit, der sich über die Systemmodule "sm" und "spi" erhöhten Zugriff verschafft. Die Lücke in sm ist schon seit Jahren bekannt, die in spi wurde vor drei Jahren in Luma3DS behoben. Ein vollständiger Write-Up ist für Weihnachten geplant.

Dieser Payload wurde sogar schon von zoogie für unSAFE_MODE benutzt. Er soll auch auf der aktuellen 11.14 funktionieren, allerdings gibt es noch keinen öffentlichen ARM9-Exploit.

Neuer Wii-U-Exploit FailST: Kostenlose Alternative zu haxchi

Der bekannte Entwickler Maschell hat ein Versäumnis im Betriebssystem der Wii U entdeckt, mit dem sich jeder installierte Titel beliebig modifizieren lässt, ohne, dass die Signatur geprüft wird. Dabei handelt es sich quasi um eine kostenlose Alternative zu haxchi.

Im April arbeitete Maschell an einem Update für JNUSLib und entdeckte, dass einige Flags in der Dateisystem-Tabelle (FST) der Titel undokumentiert sind. Dabei handelt es sich um den sogenannten "Hash Mode", der angibt, wie ein Titel vom System geprüft wird.

Mit contenthax (haxchi) können Dateien im "content"- und "meta"-Ordner nach der Installation beliebig modifiziert werden, da diese nur während der Installation geprüft werden (Hash Mode 2). Dies trifft nicht auf Discs zu.

Das ermöglicht leider nicht das beliebige Austauschen von Dateien im "code"-Ordner, der unter anderem die Binary des Titels enthält. So könnte man nämlich einfach die RPX mit der eines Payload-Launchers austauschen. Das bedeutet erst einmal, dass Fehler in den einzelnen Titeln gefunden werden müssen (bspw. im DS-Emulator => haxchi). Der Hash dieser Dateien ist nämlich in der TMD (quasi das "Inhaltsverzeichnis" des Titels) gespeichert, die auch während des Startens geprüft werden (Hash Mode 1).

Vereinfacht erklärt bedeutet das als Konsequenz:

  • Hash Mode 1: Prüfe während Installation und Start
  • Hash Mode 2: Prüfe nur während der Installation
Dieser vorher unbekannte Eintrag gibt den Hash-Mode an
Dieser vorher unbekannte Eintrag gibt den Hash-Mode an

Die Dateisystem-Tabelle, die alle Dateien des Titels inkl. ihres Hash Modes angibt, ist im "code"-Ordner in der "title.fst" gespeichert und der Hash davon befindet sich in der TMD. Allerdings hat es Nintendo versäumt, die title.fst zu überprüfen und somit kann diese einfach modifiziert werden. Mit "FailST" wird die "title.fst" also so abgeändert, dass jede Datei den Hash Mode 2 benutzt, also nicht während der Ausführung geprüft wird – dies ermöglicht das Austauschen der RPX im "code"-Ordner mit der eines Payload-Launchers!

Eine umfangreichere Erklärung wird Maschell bald veröffentlichen. ist jetzt online! Den "Fehler" teilte er unter anderem mit NexoCube/Rambo6Glaz, der diesen öffentlich machte, obwohl abgesprochen war, dass zuerst eine stabile, getestete Umgebung bereitgestellt werden soll. Dass Maschell vorher über diesen Exploit verfügte, können wir bestätigen.

In Kürze wird ein Installer veröffentlicht, der die nutzlose "Gesundheits- und Sicherheitswarnungen"-Anwendung zum "payload.elf"-Launcher abändert. Eine gute, kostenlose Alternative zu haxchi! Allerdings könnte Nintendo diesen Exploit trivial per Update patchen, weswegen unbedingt ein Update-Blocker-DNS eingerichtet werden sollte.

Ein Beispielvideo kann auf YouTube gefunden werden.

nitpic3d v1.0.1

nitpic3d v1.1.0

Sekundärer Exploit für "Picross 3D: Round 2".

Entwickler luigoalma
Lizenz Public Domain
Dateigröße 117,60 kB
Letztes Update

Die Art und Weise, wie der Installer die Dateien von der SD-Karte liest, wurde geändert. Außerdem weist der Entwickler darauf hin, dass die Spielsprache auf Englisch eingestellt sein muss.

Changed how installer reads files from SDMC.
Also a note, exploits currently need game in English, except for the Japanese version.

nitpic3d: Sekundärer 3DS-Exploit für Picross 3D: Round 2

nitpic3d v1.1.0

Sekundärer Exploit für "Picross 3D: Round 2".

Entwickler luigoalma
Lizenz Public Domain
Dateigröße 117,60 kB
Letztes Update

Heutzutage ist ein ARM11-Userland-Exploit für den 3DS nicht mehr spannend – das Gleiche gilt auch für nitpic3d von luigoalma für das Spiel "Picross 3D: Round 2", welcher mithilfe eines anderen Exploits installiert werden muss. Aber mittlerweile geht das ja alles viel einfacher.

Das Spiel prüft von der Speicherdatei nur den Header, was sich dieser Exploit zu Nutze macht.

Danke an Dash Recorder für den Hinweis!

Old Browserhax: Old3DS Browserhax für Firmware 11.10 bis 11.13 veröffentlicht

Dieser Download befindet sich nicht (mehr) in unserer Datenbank oder wurde verschoben - klicke hier, um zum aktuellen Download/zu einer Alternative zu gelangen.

Zoogie hat seinen New Browserhax auf dem Old3DS lauffähig gemacht.

Der Exploit funktioniert auf den Firmware-Versionen 11.10.0-43 bis 11.13.0-45 und zwar nur auf dem originalen Nintendo 3DS, dem Nintendo 3DS XL und dem Nintendo 2DS. In Kombination mit unSAFE_MODE lässt sich somit einfach eine CFW installieren.

Danke an Dash Recorder für den Hinweis!

New Browserhax: New3DS Browserhax für Firmware 11.10 bis 11.13 veröffentlicht

Zoogie hat einen neuen Exploit für die Systeme der New3DS-Familie veröffentlicht. Hierbei handelt es sich um einen ARM11-Userland-Exploit. Er basiert dabei auf JSTypeHax für die Wii U.

Dieser Download befindet sich nicht (mehr) in unserer Datenbank oder wurde verschoben - klicke hier, um zum aktuellen Download/zu einer Alternative zu gelangen.

Der Exploit funktioniert auf den Firmware-Versionen 11.10.0-43 bis 11.13.0-45 und zwar nur auf dem New Nintendo 3DS, New Nintendo 3DS XL und New Nintendo 2DS XL. In Kombination mit unSAFE_MODE lässt sich somit einfach eine CFW installieren.

unSAFE_MODE v1.0: Neuer 3DS-Exploit zur Installation von boot9strap

Exploit für den Updater im Recovery-Modus zur Installation von boot9strap.

Entwickler zoogie
Dateigröße 307,07 kB
Letztes Update

Zoogie beglückt uns mit einem neuen 3DS-Exploit für den Recovery-Modus des 3DS, der auch auf der aktuellen Firmware funktioniert! Dieser kürzt den Installationsprozess für boot9strap etwas ab.

Wenn der 3DS über das Recovery-Menü (SAFE_MODE) aktualisiert werden soll und keine Internetverbindung hergestellt werden kann, wird zu den Interneteinstellungen im SAFE_MODE weitergeleitet. Wenn hier bei einer Verbindung die Proxy-Einstellungen bearbeitet werden, wird die URL nicht auf die Länge geprüft, was mithilfe von präparierten Einstellungen ausgenutzt werden kann.

Der System-Updater im SAFE_MODE ist eigentlich ein Fork (also eine Abspaltung) von MSET (die Systemeinstellungen) der Firmware 1.0. MSET hatte diesen Fehler früher auch, allerdings nur bis zur Firmware 3.0. Da Nintendo SAFE_MODE aus irgendeinem Grund nicht oft aktualisiert, wurde dieser Fehler dort nie behoben. Wem das bekannt vorkommt: safehax nutzte einen Firmlaunch-Bug, der auch vorher behoben wurde, aber nie im SAFE_MODE.

Dazu müssen natürlich die Wi-Fi-Einstellungen speziell bearbeitet werden, was bspw. mithilfe von bannerbomb3 möglich ist. Wie so oft in der 3DS-Szene ist die Dokumentation eher mäßig und oft nur mit einem Verweis auf 3ds.hacks.guide. Eine Anleitung ist enthalten, allerdings muss vorher Seedminer ausgeführt und die movable.sed erlangt werden. Alternativ geht es auch über PicHaxx mit einem speziellen Otherapp-Payload.

Danke an Dash Recorder für den Hinweis!