Pubblicato un nuovo aggiornamento per PS5 JAR Loader, lo strumento sfrutta vulnerabilità nel livello BD-J del firmware PS5 fino alla versione 7.61. Questo loader consente di eseguire file JAR sulla console, eseguendo la loro classe principale.
Ciò semplifica la masterizzazione del disco BD-R con il caricatore una sola volta e quindi la possibilità di eseguire nuove versioni del codice sperimentale.
L’aggiornamento ha raggiunto uno stato stabile sulla versione 1.02 del firmware, con il controllo che torna al JAR loader dopo l’esecuzione di UMTX, permettendo l’esecuzione di altri payload con accesso permanente in lettura/scrittura al kernel.
Sono state implementate correzioni per il vmspace, migliorando la stabilità, e sono stati stampati l’indirizzo di allproc e le informazioni per sconfiggere KASLR.
Alcuni miglioramenti, come lo spray dei file descriptor, sono stati aggiunti basandosi su consigli esterni, sebbene non testati su firmware 3.xx.
Il payload UMTX dovrebbe installare un accesso permanente in lettura/scrittura al kernel e permettere ulteriori payload, come il jailbreak (ancora in lavorazione).
Tra i problemi riscontrati, una volta che BD-J è fuori dalla sandbox, la JVM non riesce a trovare alcune classi nel percorso /app0, rendendo necessario un lavoro di reverse engineering per risolvere il problema.
La stabilità non è ancora perfetta, con possibili kernel panic dopo un certo periodo e crash frequenti del processo BD-J.
Prerequisiti
- JDK 11 (PS5 utilizza Java 11 come runtime).
- Apache Maven.
- IntelliJ IDEA Community Edition (opzionale, ma consigliato).
Struttura
Il progetto è composto dai seguenti componenti:
- Il file
pom.xml
definisce le proprietà comuni e la configurazione del plugin Maven per tutti i progetti. - Il sotto-progetto
assembly
crea la directory che deve essere masterizzata su un disco BD-R. - Il sotto-progetto
bdj-tools
non deve essere modificato e contiene utility da HD Cookbook integrate nel processo di compilazione del filesystem del disco BD-R. - Il sotto-progetto
stubs
contiene lo script di build per scaricare i file di classe BD-J da HD Cookbook e organizzarli per l’uso con JDK 11 locale. - Il sottoprogetto
sdk
contiene classi di supporto che semplificano l’invocazione nativa nel codice eseguito. - Il sotto-progetto
xlet
contiene il codice dell’Xlet che si avvia quando il disco BD-R viene lanciato sulla PS5. - Il sotto-progetto
xploit
contiene il codice da inviare per l’esecuzione sulla PS5.
Configurazione
Le seguenti proprietà in pom.xml
possono essere modificate prima di compilare e masterizzare il JAR Loader su disco:
loader.port
– Porta su cui il caricatore JAR ascolterà i dati.loader.resolution.width
,loader.resolution.height
– Risoluzione dello schermo da impostare in vari file.remote.logger.host
– Indirizzo IP dove visualizzare i messaggi mostrati su schermo.remote.logger.port
– Porta su cui il logger remoto invierà i messaggi di stato.remote.logger.timeout
– Numero di millisecondi da attendere prima di interrompere i tentativi di connessione al logger remoto.
Utilizzo
- Assicurarsi che la variabile di ambiente
JAVA_HOME
punti alla radice di JDK 11. Aggiungere la directory${JAVA_HOME}/bin
a${PATH}
. - Assicurarsi inoltre che
MAVEN_HOME
punti alla radice dell’installazione di Apache Maven. Aggiungere la directory${MAVEN_HOME}/bin
a${PATH}
. - Creare un payload da eseguire su PS5 aggiungendo l’implementazione al sottomodulo
xploit
. Non è necessario modificare alcun file esistente (anche se sei il benvenuto se lo desideri). Aggiungere semplicemente la classe di payload nel pacchetto org.ps5jb.client.payloads e specificare il suo nome come parametro durante la compilazione del progetto (vedere il passaggio successivo). - Eseguire
mvn clean package -Dxploit.payload=[payload classname]
dalla radice del progetto. Dovrebbe produrre i seguenti artefatti:- La directory
assembly/target/assembly-[version]
contiene tutti i file che devono essere masterizzati sul BD-R. - Il file
xploit/target/xploit-[version].jar
contiene il codice che può essere inviato ripetutamente alla PS5 una volta distribuito il caricatore. Per evitare di dover specificare ogni volta il payload con uno switch-D
(anche allo step 8), potete anche modificare la proprietàxploit.payload
nel pom.xml del progetto xploit.
- La directory
- Masterizzare il disco BD-R (meglio ancora BD-RE), quindi inseriscirlo nella PS5 e avviare “PS5 JAR Loader” da Media/Disc Player.
- Un messaggio sullo schermo dovrebbe informare del caricatore in attesa del JAR.
- Inviare il file JAR utilizzando il comando:
java -jar xploit/target/xploit-[version].jar <ps5 ip address>`
. La PS5 dovrebbe informare sullo schermo sullo stato del caricamento e dell’esecuzione. - Una volta completata l’esecuzione, il caricatore attenderà un nuovo file JAR. Apportare le modifiche necessarie al progetto
xploit
, ricompilare utilizzandomvn package
e rieseguire il passaggio #7 per riprovare tutte le volte necessarie.
Note
- Per utilizzarlo con IntelliJ, basta puntare la finestra di dialogo
File -> Open
alla radice del progetto. - Se uno dei POM viene modificato, è necessario eseguire
Maven -> Reload Project
in IntelliJ per sincronizzare i file del progetto. La sincronizzazione del progetto Maven purtroppo modifica .idea/compiler.xml in modo che contenga percorsi assoluti di sistema. È sufficiente sostituirli nuovamente con la macro$PROJECT_DIR$
. IntelliJ modifica anche i percorsi di classe dei moduli definiti in vari file*.iml
. Anche queste modifiche dovrebbero essere in gran parte annullate. - Per generare i Javadoc, utilizzare
mvn verify
piuttosto chemvn package
. I Javadoc sono abilitati per i moduli sdk, xlet e xploit e sono generati nella cartellatarget/site/apidocs
di ciascun modulo. - Il JAR nel modulo
xploit
accede ad alcune classi interne del JDK tramite reflection. Questo comporta degli avvertimenti che possono essere tranquillamente ignorati. Per disattivare gli avvisi, aggiungere la seguente opzione dopo l’eseguibilejava
quando si invia il JAR:--add-opens java.base/jdk.internal.loader=ALL-UNNAMED
. - Se il file JAR di
xploit
non ha dipendenze specifiche per PS5, può essere testato localmente. L’importante è chexlet
, glistub
e i JAR dixploit
siano tutti nella stessa cartella. Maven crea automaticamente questa disposizione nella cartellaxploit/target
, quindi il comando è molto simile a quello che invia il file JAR alla PS5:java -jar xploit/target/xploit-[version].jar
. Quando viene eseguita localmente, la classeStatus
stampa su standard output/error, anziché suScreen
. - Attualmente ci sono due numeri di versione separati utilizzati dal progetto:
- La versione
xlet
è indipendente e viene incrementata solo quando è necessario masterizzare un nuovo disco con le classi JAR aggiornate del caricatore. Se la PS5 mostra una versione diversa da quella prodotta dal codice di questo progetto, non viene garantita la compatibilità dei payload, quindi è meglio masterizzare un nuovo disco loader. Non si prevede che questa versione venga incrementata spesso, poiché il caricatore è piuttosto stabile. Per incrementare questa versione, cambiare il valore della proprietàxlet.version
in pom.xml. - Il resto dei moduli utilizza la versione del POM genitore. Questa versione verrà incrementata con la nuova release e riflette che l’SDK o i payload sono cambiati. Se la versione del caricatore rimane invariata, le nuove versioni dei payload possono essere inviate al caricatore JAR senza dover masterizzare nuovamente il disco. Questa versione può essere incrementata eseguendo
mvn versions:set -DnewVersion=[version]
, quindi aggiornando il progetto IntelliJ Maven come descritto al punto 2.
- La versione
Changelog
Framework per accesso permanente in lettura/scrittura al kernel.
Nota: le versioni precedenti del JAR loader non eseguiranno JAR compilati con questa versione.
Passaggi:
- Compilare il progetto e masterizzare il contenuto della cartella
assembly/target/assembly-2.0.0
su un disco BD-RE. Disponibile anche una ISO precompilata. Facoltativamente, compilare con il parametro-Dremote.logger.host=[IP del server di logging]
per visualizzare l’output su schermo su un host remoto. - Inserire il disco nella PS5 ed eseguire il JAR Loader.
- Inviare un payload:
java -jar <payload.jar> <IP della PS5>
.
Esempi:
- Server FTP (in modalità sandbox).
- Esempio di mini-gioco di tennis.
- Stampa delle proprietà di sistema.
- Dump del classpath corrente della JVM, incluso il modulo java.base (potrebbe non funzionare su tutti i firmware).
- Implementazioni del bug UMTX di flat_z e Cryptogenic, adattate a questo SDK. Nota che la stabilità non è garantita, e sono previsti crash del processo BD-J o eventuali kernel panic. Alcuni passaggi di post-exploitazione sono attualmente implementati solo su firmware 1.02 e l’exploit potrebbe non funzionare affatto su firmware 3.xx+.
Download: PS5 JAR Loader v2.0
Download: dumpclasspath-1.0-SNAPSHOT.jar
Download: ftpserver-1.0-SNAPSHOT.jar
Download: minitennis-1.0-SNAPSHOT.jar
Download: printsysprops-1.0-SNAPSHOT.jar
Download: umtx-bug-1.0-SNAPSHOT.jar
Download: Source code PS5 JAR Loader v2.0
Fonte: github.com