Pubblicato un primo aggiornamento per la recente reimplementazione dell’exploit Blu-Ray Disc Java Sandbox Escape che mirerebbe a migliorare il formato del payload.

Questa versione dell’exploit implementa il caricamento dei payload arbitrari .bin utilizzando la vulnerabilità numero 2 (chiamata al costruttore con privilegi), numero 3 (chiamata al metodo con privilegi) e numero 4 (hack JIT) dal report utilizzando la porta 9019 per caricare i payload.

Il primo (e unico) argomento del payload si trova all’indirizzo sceKernelDlsym, che può essere utilizzato per risolvere anche gli altri simboli.

Sembra che libkernel_sys.sprx abbia sempre id 0x2001, mentre è possibile cercare altre librerie ottenendo l’elenco completo degli handle e cercando il nome di ciascun handle. Non è possibile chiamare direttamente le syscall a causa della mancanza di patch del kernel.

Purtroppo pare che la nuova versione del payload non sia stata ancora compilata, aggiorneremo l’articolo non appena verrà rilasciata.

Changelog

• Migliorato il formato del payload.
  • Intestazione fissa: EB 0B P L D <8 byte = lunghezza della parte eseguibile>.
  • Questo numero di byte mappato RX, il resto mappato RW.
  • Questo conteggio include l’intestazione a 11 byte stessa.
  • I payload che non iniziano con EB 0B P L D vengono trattati come payload normali vecchio stile.

Download: Source code BD-JB

Download: Immagine ISO

Download: PS3 BD-J DevKit

Fonte: github.com