Game Pro Strcpy Tony Hawk

 (icode4.coffee)
1 poin oleh GN⁺ 2024-08-08 | 1 komentar | Bagikan ke WhatsApp

TONY HAWK’S PRO STRCPY

Gambaran umum

  • Proyek yang dimulai pada 2016 untuk mencari bug baru guna meretas Xbox
  • Konsol game awal 2000-an memiliki mitigasi keamanan yang minim sehingga cocok untuk mempelajari peretasan
  • Dengan menganalisis file simpanan game Tony Hawk’s Pro Skater 4, ditemukan kerentanan buffer overflow

Part 1: Memulai

  • Kerentanan ditemukan melalui fitur "Create-A-Park" di Tony Hawk’s Pro Skater 4
  • Buffer overflow terjadi saat string nama gap pada file simpanan disalin dengan fungsi strcpy
  • Dengan membuat file simpanan berbahaya dan menjalankannya di Xbox, diperoleh hak eksekusi kode

Part 2: Eksekusi kode jarak jauh

  • Menjelajahi cara meretas konsol melalui jaringan tanpa kartu memori
  • Mencoba metode meretas konsol klien dengan mengirim file simpanan dalam game LAN multipemain
  • Buffer overflow terjadi saat konsol klien memuat file simpanan yang dikirim dari host
  • Menulis network message handler untuk mengirim executable payload tambahan ke konsol klien

Analisis varian

  • Kerentanan serupa juga ditemukan di game lain seperti Tony Hawk’s Pro Skater 3, Tony Hawk’s Underground 1 & 2, dan Tony Hawk’s American Wasteland
  • Beberapa game menggunakan stack cookie untuk mencegah buffer overflow

Hasil akhir

  • Saat konsol klien terhubung ke konsol host, file simpanan berbahaya dikirim melalui jaringan
  • Konsol klien menerima dan menjalankan executable payload
  • Eksekusi kode jarak jauh dan transfer file asinkron berhasil dilakukan

Ringkasan GN⁺

  • Artikel ini membahas proses mengeksplorasi dan mengeksploitasi kerentanan keamanan pada konsol game lawas seperti Xbox
  • Konsol lawas memiliki mitigasi keamanan yang minim sehingga cocok untuk mempelajari peretasan, dan berbagai bug dapat digunakan untuk memperoleh hak eksekusi kode
  • Artikel ini mengeksplorasi metode eksekusi kode jarak jauh melalui jaringan dan menunjukkan cara meretas konsol tanpa kartu memori
  • Dengan menemukan dan menganalisis kerentanan pada game lain yang memiliki fungsi serupa, berbagai teknik peretasan dapat dipelajari
  • Artikel ini memberikan informasi yang berguna bagi orang yang tertarik pada peretasan dan riset keamanan, serta membantu memahami kerentanan keamanan pada konsol lawas

Bacaan terkait

1 komentar

 
GN⁺ 2024-08-08
Komentar Hacker News

  • modulus kunci publik dari kunci habibi hanya berbeda 4 byte dari kunci publik Microsoft RSA

    • kunci MS adalah kunci RSA 2048-bit
    • jika nilai eksponen diubah menjadi 3, kunci yang mirip bisa ditemukan dengan mudah
    • namun, payload yang menggunakan kunci habibi tidak mengubah eksponen dari rutinitas verifikasi tanda tangan RSA
    • tampaknya verifikasi tetap dilakukan dengan menggunakan eksponen 65537
    • tidak yakin bagaimana hal ini bisa dilakukan

  • bilangan bulat 2048-bit mungkin bisa difaktorkan dengan cukup mudah

    • kodenya mungkin bekerja dengan mengubah 4 byte secara acak lalu mencoba memfaktorkannya
    • hasilnya bisa berupa modulus publik yang memiliki banyak faktor kecil
    • modulus RSA biasanya memiliki dua faktor prima, tetapi secara matematis tidak masalah jika memiliki lebih banyak faktor

  • softmod Xbox 360 dimungkinkan melalui nama taman di game Tony Hawk

    • menggunakan rantai ROP 24 segmen
    • penjelasan fungsi hypervisor yang ringkas serta pemikiran tentang botnet x360 membangkitkan nostalgia Xbox 360

  • seharusnya menggunakan strncpy alih-alih strcpy

    • Tony Hawk terkenal sebagai pendukung perlengkapan keselamatan
    • sangat disayangkan ada eksploit untuk mod THUG PRO
    • mod tersebut sudah berusia lebih dari 10 tahun, dan pengembang aslinya telah menghilang
    • sekarang mod itu tidak bisa digunakan, dan tidak ada yang mau memakainya karena risiko eksploit full-privilege
    • semoga artikel ini sampai ke orang yang tertarik menambal mod tersebut

  • Tony Hawk adalah skater profesional, bukan analis keamanan

    • pada akhir 1990-an dan awal 2000-an, ia secara alami menghabiskan waktunya untuk membuat seri game, bukan mengaudit kode

  • penasaran kapan, di mana, dan bagaimana kunci privat habibi bocor

    • OP dapat menjalankan executable yang tidak ditandatangani dengan menambal perbedaan 4 byte antara kunci MS dan kunci habibi
    • ini berarti ia telah mendapatkan kunci privat tersebut

  • saat melakukan dekompilasi PSX, sering menemukan kasus serupa

    • memmove ditautkan melalui pustaka SDK, tetapi strcpy disediakan oleh BIOS
    • hingga 1997, versi lanjutan dari SDK bisa ditambal menjadi versi pustaka

  • sudah berkali-kali membaca analisis eksploit seperti ini, dan berharap bisa membacanya 100 kali lagi di masa depan

    • artikel yang luar biasa

  • ini adalah contoh yang bagus tentang pola pikir keamanan yang keliru dalam pengembangan konsol

    • pola pikir “kita hanya perlu mem-parsing data yang kita simpan” adalah keliru
    • konsol seharusnya tidak menganggap pengguna sebagai musuh
    • tetapi jika memang begitu, game harus memiliki pola pikir keamanan yang sesuai

  • bayangkan plugin VSCode yang menciptakan nama trik dan memberi skor poin combo untuk input tombol beruntun

    • Tony Hawk's Pro-grammer