Pré-requis de base

• Une Nintendo Switch, si possible achetée avant le 23 avril 2018 ;
• Un câble USB type C pour connecter votre Switch à votre appareil.

Avant de commencer ce tutoriel, il est impératif d'avoir 

• activé le mode RCM/Recovery de votre console (tuto disponible ici) ;
• connecté cette dernière à votre appareil favori sur un port USB 3.0.

Guide

Sélectionnez votre appareil ou votre système d'exploitation parmi la liste ci-dessous :

Windows

À l'heure actuelle, Fusée Launcher n'est pas « officiellement » supporté sur Windows. Mais grâce aux talents de Rajkosto, une solution alternative codée en C++ existe ! Elle s'appelle TegraRcmSmash.

Pré-requis (pour Windows)

Téléchargez TegraRcmSmash sur le site officiel de l'auteur.

https://twitter.com/Guillaume551

Créez quelque part sur votre ordinateur un dossier « TegraRcmSmash » (vous pouvez lui donner le nom de son choix), et extrayez à l'intérieur de ce dernier le contenu de l'archive fraîchement téléchargée.

Selon l'architecture de votre processeur, ouvrez le dossier « Win32 » si elle est 32 bits ou le dossier « x64 » si elle est 64 bits. Vous pouvez facilement trouver cette donnée en cherchant dans vos « Informations système ».

Téléchargez ensuite l'exécutable de Zadig, un installateur de pilotes.

Lancez le fichier exécutable que vous venez de télécharger.

Utilisation

Vérifiez que l'option « List All Devices » dans l'onglet « Options » est cochée.

Sélectionnez ensuite sur la liste défilante au centre l'appareil nommé « APX ». Le gros bouton à droite devrait désormais afficher « Install Driver » (et non « Replace Driver »).

Justement, en haut de ce gros bouton se situe un champ vous permettant de sélectionner à l'aide des boutons « Haut » ou « Bas » à droite le pilote de votre choix. Cliquez sur ces derniers jusqu'à voir apparaître « libusbK (v3.0.7.0) ».

Après avoir effectué un dernier contrôle en prenant en modèle la capture d'écran ci-dessus, vous pouvez cliquer sur le gros bouton « Install Driver ». ;)

Lancement de payload

Tout est maintenant prêt ! Il ne vous reste plus qu'à glisser-déposer un payload sur le fichier exécutable qui se trouve dans votre répertoire TegraRcmSmash !

Exemple

Vous avez certainement envie de tester si tout fonctionne bien avec un payload de test. Ça tombe bien, ktemkin a pensé à vous ! Téléchargez donc son payload de test.

Vous avez bien retenu la leçon de tout à l'heure ?  Oui, c'est cela, il suffit de glisser le fichier que vous venez de télécharger sur l'exécutable de TegraRcmSmash ! 

Windows va peut-être vous afficher un avertissement de sécurité et vous demander si vous souhaitez vraiment exécuter le fichier « TegraRcmSmash.exe », répondez par l'affirmative en cliquant sur le bouton « Exécuter ».

Mac

L'installation du Mac est pratiquement identique à celle sur Linux. Seulement quelques petites commandes diffèrent, mais l'essentiel se fait sur un terminal.

Merci à @Lyliya pour son aide.

Pré-requis (pour Mac)

Il vous suffit de commencer par télécharger ou cloner le répertoire de Fusée Launcher.

Accédez au dépôt via votre terminal préféré. Assurez-vous d'avoir Python 3 sur votre système, sinon installez-le.

brew install python3

Vérifiez aussi que vous disposez de la bibliothèque libusb.

brew install libusb-compat

Et enfin, le paquet pyusb.

pip3 install pyusb

Utilisation

Et voilà, tout est prêt pour lancer un payload sur votre Switch ! Il vous suffit d'exécuter cette commande, en remplacer {payload} par le chemin menant vers le payload que vous souhaitez charger.

sudo python3 ./fusee-launcher.py {payload}

Exemple

Vous avez certainement envie de tester si tout fonctionne bien avec un payload de test. Ça tombe bien, ktemkin a pensé à vous ! Téléchargez donc son payload de test.

Via le lien officiel

wget misc.ktemkin.com/fusee.bin

Et lancez la commande suivante :

sudo python3 ./fusee-launcher.py fusee.bin

Navigateur internet

À venir.

Tadaa ! Votre Switch devrait normalement afficher une jolie fusée en ASCII art ainsi que des informations sur ses fusibles et son IROM (?) protégé !

C'est la fin de ce tutoriel, j'espère qu'il vous aura aidé !  Comme toujours, n'hésitez pas à laisser un commentaire si vous souhaitez poser une question, exposer un problème, conseiller quelque chose ou tout simplement nous remercier ! <3

Bon hack !

L’article [Switch] TUTO - Lancer des payloads avec Fusée Gelée Launcher est apparu en premier sur Custom Protocol.

Pour rappel :

Grâce au travail acharné des membres de la Team ReSwitched, qui avaient annoncé avoir trouvé un moyen de faire marcher PegaSwitch sur le firmware 2.3 (le dernier en date à l'époque de l'annonce), le toolkit serait fonctionnel sur le nouveau firmware 3.0 de la Switch, bien que ce dernier corrige certaines failles tout de même. L'équipe aurait simplement ré-utilisé l'exploit secret qu'elle avait trouvé sur la version 2.3, ce qui signifie donc que Nintendo n'aurait pas encore réussi à trouver les vulnérabilités exploitées par la Team...

Daeken, l'un des membres de l'équipe de pirates, a annoncé sur Twitter que tous les possesseurs de Switch pouvaient faire la mise à jour sans crainte, que les homebrews étaient en « sécurité » et qu'il ne restait plus qu'à attendre jusqu'au « moment venu ». Aucune indication de temps précise pour l'instant, donc (dites-vous qu'il a fallu attendre 4 ans avant qu'un « vrai » hack arrive sur PS Vita... :P). Toutefois, si Nintendo arrivait à patcher les vulnérabilités utilisées, la Team ReSwitched a promis qu'elle partagerait publiquement leur exploit.

Bref, le traditionnel wait & see est de mise là aussi... Ah et un conseil : si vous êtes vraiment plus intéressé par le hack ou la customisation que par les jeux ou le multijoueur en ligne, on vous conseille de garder le firmware le plus bas possible. ;)

Sur ce... Wait & See !

L’article [Switch] La Team ReSwitched annonce connaître des vulnérabilités sur le dernier firmware 3.0 est apparu en premier sur Custom Protocol.

Comme expliqué plus haut, PegaSwitch est un toolkit (boîte à outils en français) pour les développeurs. Il permet d'ores et déjà de lire/écrire dans la mémoire, appeler des fonctions natives et explorer les fonctionnalités de la Switch à partir du processus WebKit. Il ne permet pas encore de coder des homebrews, mais a surtout été conçu pour permettre à d'autres hackers de travailler ensemble vers cet objectif.

Installation

Installez Node, Python 2.7 et Ruby.

Ouvrez les ports UDP 53 ainsi que TCP 80 et 8100 dans le pare-feu.

Lancez npm install, pip2 install flask, gem install rubydns.

Démarrez le serveur DNS avec la commande suivante : (drop sudo pour Windows) :

sudo ruby rdns.rb $yourlocalIP

Lancez le serveur web :

sudo python serve.py

Lancez watchify :

npm start

Démarrez le shell avec :

node debug.js

Pointez votre Switch vers le serveur DNS.

Accédez à l'eShop pour déclencher le portail captif.

Regardez la connexion au shell.

Utilisation

La manière par défaut de travailler avec PegaSwitch se fait via le shell. Tapez help une fois que la Switch sera connectée pour obtenir une liste des commandes disponibles.

Pour désactiver le shell (et travailler simplement avec l'API), commentez la ligne suivante dans le fichier "exploit/main.js" :

setupListener(sc);

API

Conventions

Les valeurs de 64 bits (les pointeurs, principalement) sont représentées par un tableau JavaScript contenant [lo, hi], où chacun fait 32 bits.

Fonctions utilitaires

• paddr(address) -- Convertit une valeur de 64 bits en hexadécimal
• add2(a, b) -- Ajoute deux valeurs de 64 bits ou ajoute une valeur de 64 bits plus  un nombre
• nullptr(address) -- Retourne true si le valeur de 64 bits donnée vaut 0
• eq(a, b) -- Retourne true si les deux valeurs de 64 bits sont égales
• parseAddr(address) -- Prend une chaîne de caractères hexadécimale et le parse en une valeur de 64 bits'

SploitCore

SploitCore est le point central de PegaSwitch, fournissant toutes les fonctionnalités de base et la partie la plus importante de l'API.

• dumpaddr(address, count) -- Prend une adresse et un nombre de 32 bits pour se connecter
• read4(address, offset) -- Lit une valeur de 32 bits depuis address + offset * 4
• read8(address, offset) -- Lit une valeur de 64 bits depuis address + offset * 4
• write4(value, address, offset) -- Écrit une valeur de 32 bits vers address + offset * 4
• write8(value, address, offset) -- Écrit une valeur de 64 bits vers address + offset * 4
• memview(address, size, cb) -- Appelle cb avec un ArrayBuffer pointant vers la "vue" de la mémoire demandée. NE GARDEZ PAS cette vue ou tout objet l'utilisant autour, ou vous allez remplir le GC et bloquer votre Switch
• getAddr(obj) -- Retourne l'adresse d'un objet JavaScript donné
• mref(offset) -- Retourne l'adresse du module principal (le binaire de l'application lui-même) plus l'offset (de 32 bits) donné
• getBase() -- Retourne l'adresse de base de WebKit
• getSP() -- Retourne le pointeur stack actuel (actuel comme un appel de fonction en JS), principalement utiles pour les chaînes JOP/ROP
• malloc(bytes) -- Retourne l'addresse d'un buffer alloué
• free(addr) -- Libère (free) un buffer alloué
• bridge and call -- Documentation plus bas
• svc(id, registers, dump_regs) -- Appelle un SVC spécifique, en passant un tableau de registres et optionnellement en dumpant tous les registres (mettre dump_regs sur true ou false)
• getTLS() -- Obtient l'adresse de TLS
• str2buf(str) -- Alloue un buffer pour une chaîne terminée par un null et retourne l'adresse
• readString(addr, length) -- Lit une chaîne de caractères depuis addr. Si la longueur length n'est pas passée en argument ou vaut -1, la fonction s'attend à ce que la chaîne de caractère soit terminée par un null
• gc() -- Force le "ramassage des ordures" (garbage collection).

Call

sploitcore.call permet d'appeler des fonctions natives avec l'adresse. Il prend les paramètres suivants, le premier étant toujours nécessaire :

• address - L'adresse de la fonction. Soit un offset de 32 bits de l'adresse du module principal, soit un pointeur absolu de 64 bits
• args - Un tableau d'arguments, qui ira dans x0+
• fargs - Un tableau de nombres float, qui ira dans d0+
• registers - Un tableau de registres bruts (x16 et x30 ne sont pas assignables)
• dump_regs - Un booléen pour définir si les registres doivent être dumpés au retour.

Cette fonction retourne toujours la valeur de 64 bits dans in x0.

Bridge

Bridge vous permet d'envelopper une fonction native dans une fonction JavaScript. Exemple :

var strlen = sc.bridge(0x43A6E8, int, char_p);
log(strlen('foo')); // Logs 3 to the console

Le premier paramètre est l'adresse (même format que call), le second est le type de la valeur de retour, le reste sont les arguments.

Voici les types valides :

• null -- Utilisé pour les fonctions de type void
• int

• void_p -- Pointeur arbitraire
• char_p -- Pointeur sur chaîne de caractères
• float -- Argument flottant (actuellement uniquement pris en charge pour les arguments, pas pour les retours).

Crédits

• Daeken ;
• Dazzozo ;
• SciresM ;
• yupferris ;
• SomeoneWeird ;
• Normmatt ;
• crowell ;
• Jaames ;
• shutterbug2000 ;
• Et bien d'autres de la Team ReSwitched...

L’article [Switch] PegaSwitch : un toolkit d’exploit WebKit pour les développeurs est apparu en premier sur Custom Protocol.