GameGazフォーラム

[qwertyu]

PSPのとあるゲームでクラッシュするんですが、どうもがいてもこれ以上先に進めません。
"Address load/inst fetch"となっているのでどうかな？とも思いましたが、最近クラッシュ関係の投稿が多いうえに、J416氏の時も"Address load/inst fetch"だったはず、ということで投稿してみました。2つありますが違うゲームソフトです。どうにかなるんでしょうか。どなたか助けてくださいますか？
その1

その2

[neur0n]

クラッシュしてその画面が出てきたら、
一つ目は
disasm 0x0883D65C 30

二つ目は
disasm 0x08824B68 30

とタイプしてその結果を見せてくれませんか？

[qwertyu]

一つ目
disasm 0x0883D65C 30
0x0883D65C: 0x8CEF16D0 '....' - lw $t7, 5840($a3)
0x0883D660: 0x8D2E0004 '....' - lw $t6, 4($t1)
0x0883D664: 0xAFAA0008 '....' - sw $t2, 8($sp)
0x0883D668: 0x8F02000C '....' - lw $v0, 12($t8)
0x0883D66C: 0x810A0002 '....' - lb $t2, 2($t0)
0x0883D670: 0x810C0003 '....' - lb $t4, 3($t0)
0x0883D674: 0xAFA2000C '....' - sw $v0, 12($sp)
0x0883D678: 0x8F030010 '....' - lw $v1, 16($t8)
0x0883D67C: 0x85676460 '`dg.' - lh $a3, 25696($t3)
0x0883D680: 0x00005821 '!X..' - move $t3, $zr
0x0883D684: 0xAFA30010 '....' - sw $v1, 16($sp)
0x0883D688: 0x8F190014 '....' - lw $t9, 20($t8)
0x0883D68C: 0xAFB90014 '....' - sw $t9, 20($sp)
0x0883D690: 0x00193080 '.0..' - sll $a2, $t9, 2
0x0883D694: 0x00DD2821 '!(..' - addu $a1, $a2, $sp
0x0883D698: 0x8F090018 '....' - lw $t1, 24($t8)
0x0883D69C: 0xAFAF0020 ' ...' - sw $t7, 32($sp)
0x0883D6A0: 0xAFA90018 '....' - sw $t1, 24($sp)
0x0883D6A4: 0xAFAE0024 '$...' - sw $t6, 36($sp)
0x0883D6A8: 0x83A80018 '....' - lb $t0, 24($sp)
0x0883D6AC: 0x8CA20020 ' ...' - lw $v0, 32($a1)
0x0883D6B0: 0x81A40011 '....' - lb $a0, 17($t5)
0x0883D6B4: 0x81A90012 '....' - lb $t1, 18($t5)
0x0883D6B8: 0x00483021 '!0H.' - addu $a2, $v0, $t0
0x0883D6BC: 0x00C71826 '&...' - xor $v1, $a2, $a3
0x0883D6C0: 0x2C650001 '..e,' - sltiu $a1, $v1, 1
0x0883D6C4: 0x0144402A '*@D.' - slt $t0, $t2, $a0
0x0883D6C8: 0x00E6682A '*h..' - slt $t5, $a3, $a2
0x0883D6CC: 0x15A0000C '....' - bnez $t5, 0x0883D700
0x0883D6D0: 0x00A81824 '$...' - and $v1, $a1, $t0
host0:/>

--------------------------------------------

二つ目
disasm 0x08824B68 30
0x08824B68: 0x0320F809 '.. .' - jalr $t9
0x08824B6C: 0x00000000 '....' - nop
0x08824B70: 0x10000009 '....' - b 0x08824B98
0x08824B74: 0x00000000 '....' - nop
0x08824B78: 0x8F390010 '..9.' - lw $t9, 16($t9)
0x08824B7C: 0x0320F809 '.. .' - jalr $t9
0x08824B80: 0x00000000 '....' - nop
0x08824B84: 0x10000004 '....' - b 0x08824B98
0x08824B88: 0x00000000 '....' - nop
0x08824B8C: 0x8F390014 '..9.' - lw $t9, 20($t9)
0x08824B90: 0x0320F809 '.. .' - jalr $t9
0x08824B94: 0x00000000 '....' - nop
0x08824B98: 0x8EA30008 '....' - lw $v1, 8($s5)
0x08824B9C: 0x1060001A '..`.' - beqz $v1, 0x08824C08
0x08824BA0: 0x00000000 '....' - nop
0x08824BA4: 0x8EB20010 '....' - lw $s2, 16($s5)
0x08824BA8: 0x26B0000C '...&' - addiu $s0, $s5, 12
0x08824BAC: 0x26B10014 '...&' - addiu $s1, $s5, 20
0x08824BB0: 0x12500013 '..P.' - beq $s2, $s0, 0x08824C00
0x08824BB4: 0xAEB20014 '....' - sw $s2, 20($s5)
0x08824BB8: 0x8E440008 '..D.' - lw $a0, 8($s2)
0x08824BBC: 0x02802821 '!(..' - move $a1, $s4
0x08824BC0: 0x0E2092B6 '.. .' - jal 0x08824AD8
0x08824BC4: 0x02603021 '!0`.' - move $a2, $s3
0x08824BC8: 0x8EA30008 '....' - lw $v1, 8($s5)
0x08824BCC: 0x5060000D '..`P' - beqzl $v1, 0x08824C04
0x08824BD0: 0x26A3000C '...&' - addiu $v1, $s5, 12
0x08824BD4: 0x8E240000 '..$.' - lw $a0, 0($s1)
0x08824BD8: 0x26A3000C '...&' - addiu $v1, $s5, 12
0x08824BDC: 0x10830008 '....' - beq $a0, $v1, 0x08824C00
host0:/>

何がどう関係しているのやら・・・

[neur0n]

一つ目
文字列の長さを変えてみてはどうでしょう？

二つ目
disasm 0x08824AD8 20
と打ってもらえませんか？

メモ；
一つ目
$t9 = 0x61616161
$a1 = $t9 * 4 + $sp

一応コントロールできている。

[qwertyu]

二つ目のやつ
disasm 0x08824AD8 20
0x08824AD8: 0x27BDFFD0 '...'' - addiu $sp, $sp, -48
0x08824ADC: 0xAFBF001C '....' - sw $ra, 28($sp)
0x08824AE0: 0xAFB50018 '....' - sw $s5, 24($sp)
0x08824AE4: 0xAFB40014 '....' - sw $s4, 20($sp)
0x08824AE8: 0xAFB30010 '....' - sw $s3, 16($sp)
0x08824AEC: 0xAFB2000C '....' - sw $s2, 12($sp)
0x08824AF0: 0xAFB10008 '....' - sw $s1, 8($sp)
0x08824AF4: 0x00C09821 '!...' - move $s3, $a2
0x08824AF8: 0x0080A821 '!...' - move $s5, $a0
0x08824AFC: 0xAFB00004 '....' - sw $s0, 4($sp)
0x08824B00: 0x02751821 '!.u.' - addu $v1, $s3, $s5
0x08824B04: 0x90630020 ' .c.' - lbu $v1, 32($v1)
0x08824B08: 0x1060003F '?.`.' - beqz $v1, 0x08824C08
0x08824B0C: 0x00A0A021 '!...' - move $s4, $a1
0x08824B10: 0x001418C0 '....' - sll $v1, $s4, 3
0x08824B14: 0x00752821 '!(u.' - addu $a1, $v1, $s5
0x08824B18: 0x90A30025 '%...' - lbu $v1, 37($a1)
0x08824B1C: 0x5060003B ';.`P' - beqzl $v1, 0x08824C0C
0x08824B20: 0x8FBF001C '....' - lw $ra, 28($sp)
0x08824B24: 0x90A30024 '$...' - lbu $v1, 36($a1)
host0:/>

1つ目は文字列の長さを変えてみますが、どういったときに報告すればよろしいでしょうか。

[neur0n]

クラッシュするアドレスが変わったらでお願いします。

例えば一つ目だったら
クラッシュしたアドレスは　0x0883D6AC ですね。

[qwertyu]

一つ目のやつの文字列を短くしました。8バイトしか入れていません。
Exception - Address load/inst fetch
Thread ID - 0x04745D59
Th Name - user_main
Module ID - 0x04727C0F
Mod Name -
EPC - 0x088076B4
Cause - 0x10000010
BadVAddr - 0x8F816864
Status - 0x60088613
zr:0x00000000 at:0xDEADBEEF v0:0x00000001 v1:0x8F816734
a0:0x09FBE1D0 a1:0x61616161 a2:0x00000002 a3:0x0912BA78
t0:0x00000001 t1:0x00000003 t2:0x00000002 t3:0x00000030
t4:0x85858584 t5:0x00000003 t6:0x00000001 t7:0x088B64B0
s0:0x08DD3384 s1:0x0912BB30 s2:0x08D9A180 s3:0x09FBE1D0
s4:0x00000000 s5:0x08D9A180 s6:0x08873534 s7:0x00000000
t8:0x000000FF t9:0xFFFFFFFC k0:0x09FBE800 k1:0x00000000
gp:0x088BE320 sp:0x09FBE1B0 fp:0x08870E50 ra:0x08807688
0x088076B4: 0x8C650130 '0.e.' - lw $a1, 304($v1)

[neur0n]

あら・・・逆に0x61616161が減ってしまいましたね・・・


追記；
クラッシュするたびに遠隔で確認するのは効率が悪いと思ったので、簡単に　「$ra　を書き換えないExploitの探し方」を書いておきます。

disasm 0x******** **
と打ち込むとクラッシュしたアドレスの周辺を調べることができます。

0x******** に調べたいアドレスを、　**は表示する個数(行)を指定します。
たとえば

lw $t0 0($a0)
・
・
jr $t0

となっていて、$a0がコントロール可能ならば、それはExploitになりえます。

[minomushi]

確かにexploitになりそうな予感。
neur0ner氏の言う通りにコントロールが一部で来ています。
諦めないでやる価値はあるかと。
aaaの数をふやしてみてください。
2000byteぐらいいれてみて下さい

[qwertyu]

了解しました。少しずつ増やしてみます。