Zum Inhalt springen

Schlagwort: exploit

UDPIH und UDPIH Nintendo Switch Payload v2

Wii U, Wii U: Update , ,

UDPIH

Nutzt ein Versäumnis beim Parsen der USB-Deskriptoren aus, um Code kurz nach dem Start der Konsole auszuführen. In Verbindung mit dem Wii U Recovery Menu ideal zum Unbricking von bspw. Coldboot-Haxchi-Bricks! Raspberry Pi Pico, Zero oder eine hackbare Nintendo Switch benötigt!

Die Wii U schaltet sich nun ab, wenn das Recovery-Menu nicht auf der SD-Karte gefunden wird. Auch werden der Full-Speed- und High-Speed-Modus unterstützt, damit mehr Linux-Systeme funktionieren.

Changelog UDPIH

* The console now powers off if the recovery_menu cannot be loaded from the SD Card.
* The gadget now supports both full speed and high speed mode, to support more linux systems.


UDPIH Nintendo Switch Payload

Payload für den Wii-U-Exploit "UDPIH".

Der Nintendo Switch Payload funktioniert jetzt auch auf Mariko-Geräten per Modchip und hekates Minerva wird nicht mehr auf der SD-Karte benötigt. Auch wird die Option "Reboot (RCM)" auf gepatchten Konsolen deaktiviert; genau wie die Option "Reboot to hekate", wenn hekate nicht gefunden wird.

Changelog UDPIH Nintendo Switch Payload

* The payload now properly supports and uses xusb on all consoles.
** This means mariko units should be supported now.
** The payload no longer needs minerva, which was requiring the minerva hekate module on the SD Card.
** The "Reboot (RCM)" options is now disabled on patched consoles and "Reboot to hekate" is disabled if hekate cannot be found.
* Udpih was updated to Release 2.

UDPIH Nintendo Switch Payload

Nintendo Switch, Nintendo Switch: Neu , ,

GaryOderNichts hat für den gestern erschienenen Wii-U-Exploit "UDPIH" einen Switch-Payload veröffentlicht. Somit wird nur eine ungepatchte Switch benötigt, um eine Wii U zu entbricken!

Die Nutzung ist denkbar einfach – den Payload über Fusée Gelée injizieren, "Run UDPIH gadget" mit "POWER" auswählen, Recovery Menu im Root der SD-Karte der Wii U ablegen, Wii U starten und beim "Wii U" Logo die Switch in einen der vorderen USB-Ports anstecken. Ein Video findet ihr auch auf YouTube.

UDPIH Nintendo Switch Payload

Payload für den Wii-U-Exploit "UDPIH".

Danke an Maschell und Alex für den Hinweis!

UDPIH: Wii U USB-Host-Stack Exploit kann u.a. Coldboot-Haxchi-Bricks fixen

Wii U, Wii U: Neu , , ,

GaryOderNichts hat einen neuen Exploit für die Wii U veröffentlicht, der ein Versäumnis im USB-Host-Stack der Konsole ausnutzt, um Code sehr früh beim Boot auszuführen – damit lassen sich in Verbindung mit dem ebenfalls veröffentlichten Recovery Menu u.a. Coldboot-Haxchi-Bricks fixen!

UDPIH

Nutzt ein Versäumnis beim Parsen der USB-Deskriptoren aus, um Code kurz nach dem Start der Konsole auszuführen. In Verbindung mit dem Wii U Recovery Menu ideal zum Unbricking von bspw. Coldboot-Haxchi-Bricks! Raspberry Pi Pico, Zero oder eine hackbare Nintendo Switch benötigt!

Wii U Recovery Menu

Mit dem Wii U Recovery Menu lassen sich u.a. Bricks reparieren, die durch den unsachgemäßen Umgang mit Coldboot Haxchi entstanden sind. Muss über UDPIH gebootet werden!

Konkret handelt es sich dabei um ein Versäumnis beim Parsen der USB-Deskriptoren. Mit diesen Deskriptoren stellen USB-Geräte verschiedene Informationen über sich selbst bereit – bspw. die USB-Version, die Hersteller- und Produkt-ID, usw. Zuerst werden beim Start die Geräte-Deskriptoren vom USB-Host-Stack gelesen; anschließend folgen die Konfigurations-Deskriptoren. Diese Deskriptoren haben keine feste Größe, sondern lege diese selbst in einem vorgegebenen Feld fest. Zudem müssen einige Felder zusätzlich byte-geswapped werden, da diese nur in Little Endian vorliegen, aber in Big Endian benötigt werden.

Nintendo hat es versäumt, zu prüfen, ob die angegebene Größe der tatsächlichen Größe entspricht, was einen "out-of-bounds" Byteswap ermöglicht. Der Blogbeitrag von GaryOderNichts geht tiefer ins Detail.

Um den Bug auszunutzen, muss man also ein Gerät besitzen, welches USB-Geräte und somit beliebige USB-Deskriptoren emulieren kann. Die populärsten sind zweifelsohne der Raspberry Pi Pico und der Raspberry Pi Zero, die beide sehr günstig zu haben sind. Eine genaue Anleitung stellt GaryOderNichts auf GitHub zur Verfügung – kurz gesagt muss der Pi Pico geflashed und beim Pi Zero ein Kernel-Modul integriert werden. Anschließend muss das Recovery Menu auf die SD-Karte der Wii U platziert und beim Start der Konsole (beim "Wii U" Logo) der Pi eingesteckt werden.

Im Recovery Menu lässt sich u.a. der Coldboot-Titel wieder auf das Wii-U-Menü zurücksetzen, OTP + SEEPROM dumpen, die PIN des GamePads anzeigen uvm.

Das dürfte wieder Leben in etliche Wii Us einhauchen, die durch den unsachgemäßen Umgang mit Coldboot Haxchi gebrickt wurden!

universal-otherapp v1.4.0

3DS, 3DS: Update ,

universal-otherapp

Kernel-Exploit-Payload für die Firmware 1.0 bis 11.15 für die einfache Installation von boot9strap.

Die Versionen 9.3, 9.4 und 9.5 werden jetzt auch unterstützt, sie haben vorher versehentlich gefehlt. Auch werden mehr Farben angezeigt, falls ein Problem auftritt.

* Add support for system version 9.3, 9.4, 9.5 (previously missing by accident)
* Even more LCD fill colors for troubleshooting (orange/magenta/pink)

unSAFE_MODE v1.3

3DS, 3DS: Update

unSAFE_MODE

Exploit für den Updater im Recovery-Modus zur Installation von boot9strap.

Der Mini_b9s_installer wurde durch den SafeB9Sinstaller ersetzt und die universal-otherapp aktualisiert.

* Mini_b9s_installer has been removed and now usm launches SafeB9Sinstaller instead.
* Updated universal-otherapp submodule.
* Some warnings fixed and other minor things.
* Hotfix 5/23/22 - fix write permission error on bb3 installer

bluubomb v5

Wii U, Wii U: Update ,

BluuBomb

Exploitet den Bluetooth-Stack der Wii U, um Zugriff auf den IOSU-Kernel zu erlangen.

Nachdem bluubomb ausgeführt wurde, lassen sich wieder andere Controller verbinden, da ein Deadlock auf dem gleichen Ausführungs-Thread behoben wurde. Auch kann die Konsole in diesem Fall wieder korrekt ausgeschaltet werden. Das war natürlich kein Dauerzustand, ein Reboot schuf vorher Abhilfe.

Der Bluetooth-Adapter des PCs wird außerdem vor dem Senden von Daten neu gestartet, um die Kompatibilität zu erhöhen und die "loadrpx"-Binary stellt jetzt Codegen-Zugriff zur Verfügung, was bedeutet, dass bspw. PayloadFromRPX von jedem Titel aus gestartet werden kann (für den CustomRPXLoader und EnvironmentLoader).

* The thread bluubomb is running on no longer deadlocks
This means other controllers can still be used after running bluubomb
* The console now powers off properly after running bluubomb
The console no longer needs to be force powered off while bluubomb binaries are running
* The loadrpx binary now provides codegen access to launched titles
This allows launching PayloadFromRPX from any title, for example to launch the CustomRPXLoader and EnvironmentLoader
* The Bluetooth adapter will now be restarted before sending data
This fixes issues with some adapters

BluuBomb v4

Wii U, Wii U: Update ,

BluuBomb

Exploitet den Bluetooth-Stack der Wii U, um Zugriff auf den IOSU-Kernel zu erlangen.

Neben allgemeinen Aufräumarbeiten am Code, welche die Kompatibilität mit einigen Bluetooth-Adaptern verbessern sollen, wurde auch die Verzögerung zwischen Datentransfers erhöht. Auch wurde eine "install_wup"-Binary hinzugefügt, die eine valide, signierte WUP von der SD-Karte installiert.

* Cleaned up and removed unnecessary code.
This increases stability and compatibility with some bluetooth adapters.
* Add a longer delay between data transfers.
This fixes an issue where bluubomb just did nothing on some bluetooth adapters.
* Add a "install_wup" binary which installs valid signed WUP from the SD Card.
Refer to the README for instructions.

BluuBomb v3

Wii U, Wii U: Update

BluuBomb

Exploitet den Bluetooth-Stack der Wii U, um Zugriff auf den IOSU-Kernel zu erlangen.

Kernel-Binarys werden nun von der SD-Karte geladen, was deutlich größere Binarys erlaubt. Neu ist ein Wupserver, mit dem sich mithilfe des wupclient verbunden werden kann. Dieser gibt vollen Systemzugriff und ermöglicht die beliebige Ausführung von Befehlen. Ferner gibt die "loadrpx"-Binary nun jedem Titel Regionspatches und volle cos.xml-Rechte.

* Bluubomb now loads kernel binaries from the SD Card. This allows for much larger kernel binaries with more possibilities.
* Added wupserver binary (See README for more info).
* The loadrpx binary (previously loadfile) now comes with region free patches and gives every application full cos.xml permissions.
* Removed load fw.img binary. Use one of the other methods to recover your console and launch a fw.img with a proper fw launcher.
* Don't set SSP mode if it's already disabled to avoid a warning (thanks @linkmauve).

BluuBomb: Neuer IOSU-Exploit nutzt Fehler im Bluetooth-Stack aus

Wii U, Wii U: Neu , ,

GaryOderNichts hat einen neuen IOSU-Exploit für die Wii U veröffentlicht.

BluuBomb

Exploitet den Bluetooth-Stack der Wii U, um Zugriff auf den IOSU-Kernel zu erlangen.

UPDATE: v2 unterstützt Pairing mit Bluetooth-Chips von Intel.

Dieser Exploit nutzt einen Buffer Overflow im Bluetooth-Stack der Wii U aus, um IOSU-Kernel-Zugriff zu erlangen und unsignierten Code auszuführen. Es ist der gleiche Bug, den Nintendo mit der Switch-Firmware 12.0.2 gefixt hatte, aber Gary hat diesen unabhängig vorher selbst entdeckt. Ein voller Write-Up findet sich auf GitHub.

Benötigt werden ein PC mit Bluetooth und Linux (eine VM geht auch). Im Grunde genommen muss der PC nur mit der Wii U gepaired und anschließend eine Kernel-Binary gesendet werden, die wiederum bspw. eine "launch.rpx" von der SD-Karte lädt. Nützlich ist das vor allem für die, die eine Wii U mit eingerichteter Altersbeschränkung gekauft haben und somit nicht mehr den Browser-Exploit nutzen können. Für alle anderen ist der bisherige Weg über den Browser schneller.

Old Browserhax XL für den Old3DS veröffentlicht

3DS, 3DS: Neu ,

Und wieder hat Zoogie einen Browser-Exploit für die aktuelle 3DS-Firmware 11.14.0-46 veröffentlicht. Diesmal nur für den Old3DS, da der New3DS schon bedient wurde.

Einfach den Anweisungen auf der Download-Seite folgen, die darin besteht, ein paar Dateien auf die SD zu kopieren, eine Seite im Browser aufzurufen und ein paar Knöpfe zu drücken. Wer die arm11code.bin mit der universal-otherapp überschreibt, kann auch direkt boot9strap installieren.

Dieser Exploit nutzt einen Use-After-Free Crash, während ein iFrame geparst wird. Mithilfe einer Zeile JavaScript kann ein Objekt von einem iFrame in die darüberliegende Seite verschoben werden, während der iFrame immer noch geparst wird, was den erwähnten Crash auslöst.

Danke an NintendoBrew für den Hinweis!

safecerthax: ARM9 Kernel-Exploit für den Old3DS

3DS, 3DS: Neu ,

Nba_Yoh hat seinen ARM9 Kernel-Exploit "safecerthax" publik gemacht. Dieser funktioniert nur auf dem Old3DS auf jeder Firmware und ermöglicht die einfache Installation eines sighax (bspw. boot9strap).

Safecerthax nutzt den Exploit "SSLoth", der ebenfalls von Nba_Yoh stammt und eigentlich mit 11.14 behoben wurde. Das SSL-Systemmodul prüfte die Signatur der TLS-Zertifikatskette nicht, was daran lag, dass Nintendo schlicht vergessen hatte, der benutzten Bibliothek "RSA BSAFE MES" die "R_VERIFY_RES_SIGNATURE" Ressource zu übergeben.

SSL/TLS sind Netzwerkprotokolle zum Verschlüsseln von Daten und stellen mithilfe von Zertifikaten sicher, dass die Inhalte auch vom Server stammen, der angefragt wurde. Das dürfte jedem von HTTPS bekannt sein.

Ohne Verifizierung ist TLS ausgehebelt – jeder kann eigene Zertifikate erstellen und das Gerät hält sie für valide. Das erinnert etwas an den Trucha Bug der Wii.

Safecerthax nutzt hierbei "fake" Update-Server (umgeleitet per DNS), die sich als offizielle Nintendo Update Server ausgeben und vortäuschen, dass ein Update für den 3DS verfügbar wäre (da wie gesagt die TLS-Zertifikate nicht geprüft werden). Der System-Updater fragt beim Update-Server nach der Zertifikatskette der zu installierenden Titel (nicht mit der obigen TLS-Zertifikatskette verwechseln!), die mithilfe des Befehls "PXIAM:ImportCertificates" an Process9 (an den ARM9) weitergegeben wird. Diese Funktion war jedoch anfällig für einen Buffer Overlfow auf dem Heap, der ausgenutzt werden konnte, um unsignierten Code auszuführen. Hier lässt sich über einen weiteren Fehler der ARM11 übernehmen. Beide Fehler wurde mit der NATIVE_FIRM (3DS-Firmware) 5.0.0 behoben

"Eigentlich" sollte dieser Exploit also längst behoben sein. Wie aber bereits von anderen Exploits bekannt aktualisiert Nintendo nie die SAFE_FIRM, also den Recovery-Modus des 3DS. Es wäre auch risikoreich dies zu tun, da ein fehlerhaftes Update sonst einen Brick bedeuten würde. Und so lassen sich diese Fehler in der uralten SAFE_FIRM immer noch ausnutzen.

Nba_Yoh hatte dies übrigens am 10. Juni an Nintendo gemeldet und ganze 12.168 Dollar dafür bekommen.

Die SAFE_FIRM des New3DS basiert allerdings auf der NATIVE_FIRM 8.0.0, was leider bedeutet, dass dieser Exploit nie auf dem New3DS funktionieren wird. Aber mittlerweile gibt es ja genügend Möglichkeiten.

Vereinfacht gesagt: Dateien auf die SD, DNS umstellen, ins Recovery-Menü booten, CFW installieren. Mehr auf unserer Download-Seite!

[UPDATE 2] universal-otherapp v1.1.0 und neuer 3DS Kernel-Exploit -> v1.2.0

3DS, 3DS: Update

universal-otherapp

Kernel-Exploit-Payload für die Firmware 1.0 bis 11.15 für die einfache Installation von boot9strap.

UPDATE, 23:04 Uhr: Natürlich ist der ARM9 Kernel-Exploit schon nutzbar, lediglich Soundhax auf der aktuellen Firmware noch nicht. Der Text wurde entsprechend angepasst, Entschuldigung!

Auch wird der aktuelle Browserhax jetzt unterstützt – dafür eventuell den Payload in "arm11code.bin" umbenennen.

UPDATE 2, 18.12.20, 13:28 Uhr: Soundhax auf > 11.3 war ein Typo.


ORIGINALTEXT:

TuxSH hat seinen universal-otherapp-Payload aktualisiert, welcher jetzt auch die aktuelle 3DS-Firmware 11.14.0 unterstützt. Dabei wurde der Punkt mit dem fehlenden ARM9 Kernel-Exploit entfernt und in die Beschreibung "agbhax" mit aufgenommen.

Und tatsächlich findet sich dieser neue Exploit erst seit heute auf der 3DBrew-Seite. Dabei handelt es sich um einen Bug in AGB_FIRM, der ähnlich wie das gefixte twlhax beim Starten des GBA-Modus funktioniert. Auch ist von soundhax auf der aktuellen Firmware die Rede. Noch ist aber kein Update erschienen, es wird wohl noch ein bisschen dauern. Nba_Yoh plant auch schon großes.

Mit einem ARM9 Kernel-Exploit wird der Modding-Prozess wieder stark vereinfacht. Dafür fällt seedminer weg und mit einem aktualisierten Soundhax hätte man alles schon auf seinem System parat.

universal-otherapp v1.0.1

3DS, 3DS: Update

universal-otherapp

Kernel-Exploit-Payload für die Firmware 1.0 bis 11.15 für die einfache Installation von boot9strap.

Der Payload funktioniert nun korrekt auf 9.3 bis 11.3 und zwei "Farbcodes" wurden hinzugefügt: Wenn der obere Bildschirm weiß ist, startet die Otherapp, wenn der untere rot ist, ist ein Fehler aufgetreten.

* Fix support for 9.3-11.3
* Add more troubleshooting via LCD fill:
* * top screen is filled with white when this otherapp starts running
* * bottom screen is filled with red in case an error happens

New Browserhax XL: New3DS Browserhax für 11.14

3DS, 3DS: Neu ,

Zoogie überrascht uns wieder mit einem neuen New3DS Browser-Exploit für 11.14. In Kombination mit unSAFE_MODE lässt sich somit auch einfach eine CFW installieren. Für den Old3DS soll ebenfalls ein neuer Browser-Exploit folgen.

Bei dem Exploit handelt es sich um einen Stack Smash, der auftritt, wenn ein "@import" für externes CSS ein URL-Fragment (#) am Anfang enthält.

Wie den letzten Exploit wird Nintendo diesen sicherlich schnell beheben; es ist allerdings amüsant anzusehen.

universal-otherapp v1.0.0: Payload zur Installation von boot9strap für 1.0 bis 11.3

3DS, 3DS: Neu ,

universal-otherapp

Kernel-Exploit-Payload für die Firmware 1.0 bis 11.15 für die einfache Installation von boot9strap.

TuxSH hat eine "otherapp.bin" veröffentlicht, in der eine ganze Exploit-Kette gebündelt ist und mit der sich am Ende boot9strap einfach installieren lässt. Das Ganze funktioniert auf der Firmware 1.0 bis 11.3. Safehax wurde mit 11.4 gepatcht.

Immer, wenn eine "otherapp.bin" gebraucht wird, ersetzt einfach die benötigte durch die aus dem Download und packt die SafeB9SInstaller.bin in den Root der SD-Karte. Das war alles! Als Userland-Exploit empfiehlt sich Soundhax, den TuxSH auch an ältere Versionen angepasst hat.

Unter 9.3 wird der klassische memchunkhax1 benutzt, darüber ein neuer, bisher unbekannter Exploit, der sich über die Systemmodule "sm" und "spi" erhöhten Zugriff verschafft. Die Lücke in sm ist schon seit Jahren bekannt, die in spi wurde vor drei Jahren in Luma3DS behoben. Ein vollständiger Write-Up ist für Weihnachten geplant.

Dieser Payload wurde sogar schon von zoogie für unSAFE_MODE benutzt. Er soll auch auf der aktuellen 11.14 funktionieren, allerdings gibt es noch keinen öffentlichen ARM9-Exploit.