GameGazフォーラム

by **minomushi** » 2010年12月18日(土) 20:06

パチュリーさんが書きました:http://124.38.212.74/m/j/143595/img/0016360704.txt?a=56800770882
また、違うゲームでクラッシュしました。
どうでしょうか・・？
宜しくおねがいしますm(_ _)m
ちなみに、昨日mamosuke様の意見を
参考にもう一度試しましたが・・
4時間、調べてもクラッシュしなかったので
また、他のを探してみますm(_ _)m

これは、読み込み命令はありますが、ジャンプ出来てないように見えます。

パチュリーさんが書きました:http://124.38.212.90/m/j/143595/img/001 ... 6804310006
ほんの、少し結果変わりました。
前と今回の結果どちらが良いですか？
minomushiさん
宜しくお願いしますm(_ _)m
パチュリー

これも、同じ通りジャンプ命令が無いようにみえます。
分岐もうまくいってません。

**スポンサードリンク**

by **パチュリー** » 2010年12月18日(土) 20:31

minomushiさん
分かりました有り難うございます(>_<)
他にも色々試してみます。
では、宜しくお願いします。

by **teck4** » 2010年12月18日(土) 20:34

パチュリーさんが書きました:http://124.38.212.90/m/j/143595/img/001 ... 6804310006
ほんの、少し結果変わりました。
前と今回の結果どちらが良いですか？
minomushiさん
宜しくお願いしますm(_ _)m

jalr $v0
これはジャンプ命令です。
レジスタ見る限り$v0のコントロールもできているように見えます。
これがexploitになるものなのかまでは私には判りませんが、ジャンプ命令があった事は知っておいてください。

by **minomushi** » 2010年12月18日(土) 20:42

teck4 さんが書きました:
パチュリーさんが書きました:http://124.38.212.90/m/j/143595/img/001 ... 6804310006
ほんの、少し結果変わりました。
前と今回の結果どちらが良いですか？
minomushiさん
宜しくお願いしますm(_ _)m

jalr $v0
これはジャンプ命令です。
レジスタ見る限り$v0のコントロールもできているように見えます。
これがexploitになるものなのかまでは私には判りませんが、ジャンプ命令があった事は知っておいてください。

すみません。見落としていました。
確かにジャンプ出来てます。
読み込まれているかどうかは、確認しますので少しお待ち下さい。
でも、何で見落としたんだろう。
最近疲れているせいか…

追記ですがteck4さん。ご指摘ありがとうございます

by **mamosuke** » 2010年12月18日(土) 21:59

コード: 全て選択: 0x088BE848: 0x8EA20000 '....' - lw $v0, 0($s5)　 <- 0x088BE84C: 0x3C09089C '...<' - lui $t1, 0x89C 0x088BE850: 0x00560018 '..V.' - mult $v0, $s6 <- 0x088BE854: 0x2534B974 't.4%' - addiu $s4, $t1, -18060 0x088BE858: 0x00004012 '.@..' - mflo $t0 <- 0x088BE85C: 0x01143821 '!8..' - addu $a3, $t0, $s4 <- 0x088BE860: 0x8CE20004 '....' - lw $v0, 4($a3) <- 0x088BE864: 0x10400011 '..@.' - beqz $v0, 0x088BE8AC 0x088BE868: 0x8EB10008 '....' - lw $s1, 8($s5) 0x088BE86C: 0x02202821 '!( .' - move $a1, $s1 0x088BE870: 0x0040F809 '..@.' - jalr $v0 <-

乗算あるから計算上0x08800000の中の更にセーブデータの中に持ってくるのは無理なんじゃないかと・・・
クラッシュ回避して$a3をコントロールしなきゃいけないので。

by **neur0n** » 2010年12月18日(土) 22:08

mamosuke さんが書きました:
コード: 全て選択
0x088BE848: 0x8EA20000 '....' - lw $v0, 0($s5)　 <- 0x088BE84C: 0x3C09089C '...<' - lui $t1, 0x89C 0x088BE850: 0x00560018 '..V.' - mult $v0, $s6 <- 0x088BE854: 0x2534B974 't.4%' - addiu $s4, $t1, -18060 0x088BE858: 0x00004012 '.@..' - mflo $t0 <- 0x088BE85C: 0x01143821 '!8..' - addu $a3, $t0, $s4 <- 0x088BE860: 0x8CE20004 '....' - lw $v0, 4($a3) <- 0x088BE864: 0x10400011 '..@.' - beqz $v0, 0x088BE8AC 0x088BE868: 0x8EB10008 '....' - lw $s1, 8($s5) 0x088BE86C: 0x02202821 '!( .' - move $a1, $s1 0x088BE870: 0x0040F809 '..@.' - jalr $v0 <-

乗算あるから計算上0x08800000の中の更にセーブデータの中に持ってくるのは無理なんじゃないかと・・・
クラッシュ回避して$a3をコントロールしなきゃいけないので。

コード: 全て選択: 0x088BE844: 0x2416002C ',..$' - li $s6, 44 <-- $s6 = 44; 0x088BE848: 0x8EA20000 '....' - lw $v0, 0($s5) <-- $v0 = 0x61616161; 0x088BE84C: 0x3C09089C '...<' - lui $t1, 0x89C 0x088BE850: 0x00560018 '..V.' - mult $v0, $s6 0x088BE854: 0x2534B974 't.4%' - addiu $s4, $t1, -18060 <-- $s4 = 0x089BB974; 0x088BE858: 0x00004012 '.@..' - mflo $t0 <-- $t0 = $s6 * $v0;( $t0 = 44 * 0x61616161) 0x088BE85C: 0x01143821 '!8..' - addu $a3, $t0, $s4 <-- $a3 = $t0 + $s4 ;( $a3 = 0x089BB974 + $t0) 0x088BE860: 0x8CE20004 '....' - lw $v0, 4($a3) <-- clash! 0x088BE864: 0x10400011 '..@.' - beqz $v0, 0x088BE8AC 0x088BE868: 0x8EB10008 '....' - lw $s1, 8($s5) 0x088BE86C: 0x02202821 '!( .' - move $a1, $s1 0x088BE870: 0x0040F809 '..@.' - jalr $v0 <-- Jump

セーブデータの読み込み位置にもよりますが、可能性はあると思います。

by **パチュリー** » 2010年12月18日(土) 22:14

http://122.213.253.58/m/j/143595/img/00 ... 6843911965
みなさん、本当に有り難うございます(^o^)
ちょっと色々試してみます。
それと、aの数減らして違う所に書いたら
この結果になりました。
どうでしょう？
また、試して何か変わったら
報告しますm(_ _)m

by **minomushi** » 2010年12月18日(土) 22:48

パチュリーさんが書きました:http://122.213.253.58/m/j/143595/img/0016372468.txt?a=56843911965
みなさん、本当に有り難うございます(^o^)
ちょっと色々試してみます。
それと、aの数減らして違う所に書いたら
この結果になりました。
どうでしょう？
また、試して何か変わったら
報告しますm(_ _)m

EPCが変わってないので、同じクラッシュです

by **パチュリー** » 2010年12月18日(土) 23:03

了解です、minomushiさん
有り難うございますm(_ _)m

by **mamosuke** » 2010年12月19日(日) 00:23

逆算シミュレーション

コード: 全て選択: 0x089CAE00 61 61 61 61 61 61 61 61 61 61 61 61 8F 05 00 00 0x089CAE10 20 AE 9C 08 61 61 61 61 61 61 61 61 61 61 61 61 0x089CAE20 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61

$v0 = 0x089CAE20にすると仮定する

コード: 全て選択: Exception - Address load/inst fetch Thread ID - 0x0463FD5F Th Name - user_main Module ID - 0x04644711 Mod Name - EPC - 0x088BE860 Cause - 0x10000010 BadVAddr - 0xC5587624 Status - 0x60088613 zr:0x00000000 at:0xDEADBEEF v0:0x61616161 v1:0x089CD520 a0:0x00000000 a1:0x089D0000 a2:0xFFFFFFFF a3:0xC5587620 t0:0xBCBCBCAC t1:0x089C0000 t2:0x089D0000 t3:0x00000240 t4:0x00000008 t5:0x089BD0C0 t6:0x08C1A070 t7:0x00000000 s0:0x00000000 s1:0x089CA598 s2:0x61616161 s3:0x089D0000 s4:0x089BB974 s5:0x089CAE0C s6:0x0000002C s7:0x00000000 t8:0xDEADBEEF t9:0xDEADBEEF k0:0x09FFFB00 k1:0x00000000 gp:0x089C6110 sp:0x09FFEDD0 fp:0x09FFEDD0 ra:0x088B8B60 0x088BE844: 0x2416002C ',..$' - li $s6, 44 /*$s6 = 44*/ 0x088BE848: 0x8EA20000 '....' - lw $v0, 0($s5) /*$v0 = 0x58F, $s5 = 0x089CAE0C*/ 0x088BE84C: 0x3C09089C '...<' - lui $t1, 0x89C /*$t1 = 0x089C0000*/ 0x088BE850: 0x00560018 '..V.' - mult $v0, $s6 /*$s6 = 44, $v0 = 0x58F*/ 0x088BE854: 0x2534B974 't.4%' - addiu $s4, $t1, -18060 /*$s4 = 0x089BB974, $t1 = 0x089C0000*/ 0x088BE858: 0x00004012 '.@..' - mflo $t0 /*$t0 = 0xF498*/ 0x088BE85C: 0x01143821 '!8..' - addu $a3, $t0, $s4 /*$a3 = 0x089CAE0C, $t0 = 0xF498, $s4 = 0x089BB974*/ 0x088BE860: 0x8CE20004 '....' - lw $v0, 4($a3) /*$v0 = 0x089CAE20, $a3 = 0x089CAE0C*/ 0x088BE864: 0x10400011 '..@.' - beqz $v0, 0x088BE8AC 0x088BE868: 0x8EB10008 '....' - lw $s1, 8($s5) 0x088BE86C: 0x02202821 '!( .' - move $a1, $s1 0x088BE870: 0x0040F809 '..@.' - jalr $v0 <-- jalr 0x089CAE20

GameGazフォーラム

セーブデータクラッシュ報告１

Re: とあるSAVE DATAクラッシュの結果です。

Re: とあるSAVE DATAクラッシュの結果です。

Re: とあるSAVE DATAクラッシュの結果です。

Re: とあるSAVE DATAクラッシュの結果です。

Re: とあるSAVE DATAクラッシュの結果です。

Re: とあるSAVE DATAクラッシュの結果です。

Re: とあるSAVE DATAクラッシュの結果です。

Re: とあるSAVE DATAクラッシュの結果です。

Re: とあるSAVE DATAクラッシュの結果です。

Re: とあるSAVE DATAクラッシュの結果です。

Re: とあるSAVE DATAクラッシュの結果です。

オンラインデータ