GameGazフォーラム

DS PSP Wii PS3 Xbox 全ての情報が集うゲーギャズフォーラム
https://forum.gamegaz.jp/

PSP SAVEDATA Crash?

https://forum.gamegaz.jp/viewtopic.php?f=23&t=767

ページ 13

PSP SAVEDATA Crash?

未読記事Posted: 2010年11月24日(水) 18:29
by kkk
とあるゲームで見つけたクラッシュなのですが
exploitになりえないクラッシュだったかなぁ、と
思ったので皆さんの意見を聞きたいです

白い部分はゲーム名が出たので塗りつぶしました

Re: PSP SAVEDATA Crash?

未読記事Posted: 2010年11月24日(水) 18:51
by iSn0wX
$raには61がなく、$a1に61が出ている...
苦しいスタートですね...
素人の意見なのでスルーしてokです。

Re: PSP SAVEDATA Crash?

未読記事Posted: 2010年11月24日(水) 19:00
by kkk
さいですか…

テスト期間中にコメントありがとうございますm(_ _)m

Re: PSP SAVEDATA Crash?

未読記事Posted: 2010年11月24日(水) 19:22
by neur0n
クラッシュしてその画面が出てきたら、
disasm 0x089A11AC 10

とタイプしてその結果を見せてくれませんか?
もしかしたらMercuryと同じ手法でExploitになりえるかもしれません。

もしかしたら・・・ですが。

Re: PSP SAVEDATA Crash?

未読記事Posted: 2010年11月24日(水) 19:38
by kkk
host0:/> Loading all modules ... Ready
Exception - Bus error (data)
Thread ID - 0x048CD057
Th Name - user_main
Module ID - 0x048D4949
Mod Name - XXXXXXX
EPC - 0x089A11CC
Cause - 0x1000001C
BadVAddr - 0x670000C8
Status - 0x20088613
zr:0x00000000 at:0xDEADBEEF v0:0x61616161 v1:0x61616161
a0:0x61616161 a1:0x61616161 a2:0x6225AD00 a3:0x08AC97D8
t0:0x00000000 t1:0x00000001 t2:0x06225AD0 t3:0x00000000
t4:0x00000000 t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0x00000000 s1:0x08F00000 s2:0x08F00000 s3:0x08F00000
s4:0x00000000 s5:0x00000000 s6:0xDEADBEEF s7:0xDEADBEEF
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x09FFE800 k1:0x00000000
gp:0x08ACF620 sp:0x09FFE360 fp:0x09FFE7C0 ra:0x0884F848
0x089A11CC: 0xAD030004 '....' - sw $v1, 4($t0)
disasm 0x089a11ac 10
0x089A11AC: 0x1140000E '..@.' - beqz $t2, 0x089A11E8
0x089A11B0: 0x00804021 '!@..' - move $t0, $a0
0x089A11B4: 0x00004821 '!H..' - move $t1, $zr
0x089A11B8: 0x8CE30004 '....' - lw $v1, 4($a3)
0x089A11BC: 0x8CE40008 '....' - lw $a0, 8($a3)
0x089A11C0: 0x8CE5000C '....' - lw $a1, 12($a3)
0x089A11C4: 0x8CE20000 '....' - lw $v0, 0($a3)
0x089A11C8: 0x25290001 '..)%' - addiu $t1, $t1, 1
0x089A11CC: 0xAD030004 '....' - sw $v1, 4($t0)
0x089A11D0: 0x24E70010 '...$' - addiu $a3, $a3, 16



結果です(汗

Re: PSP SAVEDATA Crash?

未読記事Posted: 2010年11月24日(水) 19:45
by neur0n
disasm 0x089A117C 30

こららも試してもらえませんか?

メモ;
v0:0x61616161 v1:0x61616161a0:0x61616161 a1:0x61616161 の値は、a3(0x08AC97D8)から拾われてるっぽい。

Re: PSP SAVEDATA Crash?

未読記事Posted: 2010年11月24日(水) 19:52
by kkk
Exception - Bus error (data)
Thread ID - 0x048CD059
Th Name - user_main
Module ID - 0x048D494B
Mod Name - XXXXXXXX
EPC - 0x089A11CC
Cause - 0x1000001C
BadVAddr - 0x670000E8
Status - 0x20088613
zr:0x00000000 at:0xDEADBEEF v0:0x61616161 v1:0x61616161
a0:0x61616161 a1:0x61616161 a2:0x6225AD00 a3:0x08AC97D8
t0:0x00000000 t1:0x00000001 t2:0x06225AD0 t3:0x00000000
t4:0x00000000 t5:0xDEADBEEF t6:0xDEADBEEF t7:0xDEADBEEF
s0:0x00000000 s1:0x08F00000 s2:0x08F00000 s3:0x08F00000
s4:0x00000000 s5:0x00000000 s6:0xDEADBEEF s7:0xDEADBEEF
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x09FFE800 k1:0x00000000
gp:0x08ACF620 sp:0x09FFE360 fp:0x09FFE7C0 ra:0x0884F848
0x089A11CC: 0xAD030004 '....' - sw $v1, 4($t0)
disasm 0x089a117c 30
0x089A117C: 0x90A20000 '....' - lbu $v0, 0($a1)
0x089A1180: 0x10C2FFFA '....' - beq $a2, $v0, 0x089A116C
0x089A1184: 0x24E70001 '...$' - addiu $a3, $a3, 1
0x089A1188: 0x03E00008 '....' - jr $ra
0x089A118C: 0x00C21023 '#...' - subu $v0, $a2, $v0
0x089A1190: 0x00A41025 '%...' - or $v0, $a1, $a0
0x089A1194: 0x30420003 '..B0' - andi $v0, $v0, 0x3
0x089A1198: 0x00805821 '!X..' - move $t3, $a0
0x089A119C: 0x14400027 ''.@.' - bnez $v0, 0x089A123C
0x089A11A0: 0x00A03821 '!8..' - move $a3, $a1
0x089A11A4: 0x00065102 '.Q..' - srl $t2, $a2, 4
0x089A11A8: 0x30CC000F '...0' - andi $t4, $a2, 0xF
0x089A11AC: 0x1140000E '..@.' - beqz $t2, 0x089A11E8
0x089A11B0: 0x00804021 '!@..' - move $t0, $a0
0x089A11B4: 0x00004821 '!H..' - move $t1, $zr
0x089A11B8: 0x8CE30004 '....' - lw $v1, 4($a3)
0x089A11BC: 0x8CE40008 '....' - lw $a0, 8($a3)
0x089A11C0: 0x8CE5000C '....' - lw $a1, 12($a3)
0x089A11C4: 0x8CE20000 '....' - lw $v0, 0($a3)
0x089A11C8: 0x25290001 '..)%' - addiu $t1, $t1, 1
0x089A11CC: 0xAD030004 '....' - sw $v1, 4($t0)
0x089A11D0: 0x24E70010 '...$' - addiu $a3, $a3, 16
0x089A11D4: 0xAD020000 '....' - sw $v0, 0($t0)
0x089A11D8: 0xAD040008 '....' - sw $a0, 8($t0)
0x089A11DC: 0xAD05000C '....' - sw $a1, 12($t0)
0x089A11E0: 0x152AFFF5 '..*.' - bne $t1, $t2, 0x089A11B8
0x089A11E4: 0x25080010 '...%' - addiu $t0, $t0, 16
0x089A11E8: 0x000C5082 '.P..' - srl $t2, $t4, 2
0x089A11EC: 0x11400008 '..@.' - beqz $t2, 0x089A1210
0x089A11F0: 0x30C30003 '...0' - andi $v1, $a2, 0x3
host0:/>




結果です

Re: PSP SAVEDATA Crash?

未読記事Posted: 2010年11月24日(水) 19:58
by minomushi
neur0n さんが書きました:メモ;
v0:0x61616161 v1:0x61616161a0:0x61616161 a1:0x61616161 の値は、a3(0x08AC97D8)から拾われてるっぽい。


見てみると、そうかも、
しかし、コレではきついと思いますが。

Bus error(data)
とは、読み込み時のエラーですね。
これでは、難しいかと。

Re: PSP SAVEDATA Crash?

未読記事Posted: 2010年11月24日(水) 20:05
by neur0n
$t0 を制御できればExploitになるのですが・・・このままでは無理っぽいですね。

このaaaaaa・・・と入れた文字列の長さを変えてみたら変わるかもしれません。

メモ;
0x089A1190から始まるサブルーチン?

$t0はおそらく第一引数
0x089A11B0 move $t0, $a0

Re: PSP SAVEDATA Crash?

未読記事Posted: 2010年11月24日(水) 20:05
by kkk
自分にゃ全くわかんないです(-_-;)


そうですか…

ありがとうございます
All times are UTC + 9 hours
ページ 13
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/