GameGazフォーラム

[minomushi]

結果です(^_^;)
それと、minomusiさんありがとうございます(>_<)
私には、未だに良く分からないので
ご迷惑かけますが、宜しくお願いしますm(_ _)m

PM送りました

[パチュリー]

それと、UMD版は試しましたが・・
まだpsn版はクラッシュするか試せてません。
試せたら試しますm(_ _)m

[minomushi]

それと、UMD版は試しましたが・・
まだpsn版はクラッシュするか試せてません。
試せたら試しますm(_ _)m

まだ、UMD版だけでおｋだと思いますよ。

[パチュリー]

そうですね(^^)
分かりました、他にもいろいろ試してみます。
minomusiさん、本当にいろいろ
有り難うございます(^^)
大変、勉強になります。
これからも宜しくお願いしますm(_ _)m

[mamosuke]

コード: 全て選択

Exception - Address load/inst fetch
Thread ID - 0x0463FD6B
Th Name   - user_main
Module ID - 0x0464471F
Mod Name  - パチュリーの好きなゲームだよんｗ
EPC       - 0x088BE860
Cause     - 0x10000010
BadVAddr  - 0xC5587624
Status    - 0x60088613
zr:0x00000000 at:0xDEADBEEF v0:0x61616161 v1:0x089CD520
a0:0x00000000 a1:0x089D0000 a2:0xFFFFFFFF a3:0xC5587620
t0:0xBCBCBCAC t1:0x089C0000 t2:0x089D0000 t3:0x00000240
t4:0x00000008 t5:0x089BD0C0 t6:0x08C1A070 t7:0x00000000
s0:0x00000000 s1:0x089CA598 s2:0x61616161 s3:0x089D0000
s4:0x089BB974 s5:0x089CAE0C s6:0x0000002C s7:0x00000000
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x09FFFB00 k1:0x00000000
gp:0x089C6110 sp:0x09FFEDD0 fp:0x09FFEDD0 ra:0x088B8B60
0x088BE860: 0x8CE20004 '....' - lw         $v0, 4($a3)

disasm 0x088BE840 60
0x088BE840: 0x12460016 '..F.' - beq        $s2, $a2, 0x088BE89C
0x088BE844: 0x2416002C ',..$' - li         $s6, 44
0x088BE848: 0x8EA20000 '....' - lw         $v0, 0($s5)
0x088BE84C: 0x3C09089C '...<' - lui        $t1, 0x89C
0x088BE850: 0x00560018 '..V.' - mult       $v0, $s6
0x088BE854: 0x2534B974 't.4%' - addiu      $s4, $t1, -18060
0x088BE858: 0x00004012 '.@..' - mflo       $t0
0x088BE85C: 0x01143821 '!8..' - addu       $a3, $t0, $s4
0x088BE860: 0x8CE20004 '....' - lw         $v0, 4($a3)
0x088BE864: 0x10400011 '..@.' - beqz       $v0, 0x088BE8AC
0x088BE868: 0x8EB10008 '....' - lw         $s1, 8($s5)
0x088BE86C: 0x02202821 '!( .' - move       $a1, $s1
0x088BE870: 0x0040F809 '..@.' - jalr       $v0
以下略


コントロール出来ているように見えるのは$v0と$s2です。
このうち$s2はどこから持ってきているのか分かりませんが、$v0は多分メモリ上のセーブデータ領域内(またはセーブデータから移された領域内)にある"aaaa"部分から持ってきています。
そのあとに
jalr $v0
がありますが、今回アドレス読み込みして命令を取り出す段階でとんでもない値になっているためバグってますので、仮にそれを$v0コントロールして直してしまうと、今度はその後に$v0が上書きされてしまいます。

これをexploitにしようと思うと、$t1、$s6、$s4が定数で、それを$v0を利用して$t0と$a3をうまくコントロールして再び$v0を任意の値にするという、考えただけでも頭がウニになりそうなよく分からないことをしなければなりません。

私はアセンブラの素人なのでここらが我慢の限界です。間違ってたら指摘してください。

追伸：バッファオーバーフローのほうが遥かに楽です。

[minomushi]

コード: 全て選択

Exception - Address load/inst fetch
Thread ID - 0x0463FD6B
Th Name   - user_main
Module ID - 0x0464471F
Mod Name  - パチュリーの好きなゲームだよんｗ
EPC       - 0x088BE860
Cause     - 0x10000010
BadVAddr  - 0xC5587624
Status    - 0x60088613
zr:0x00000000 at:0xDEADBEEF v0:0x61616161 v1:0x089CD520
a0:0x00000000 a1:0x089D0000 a2:0xFFFFFFFF a3:0xC5587620
t0:0xBCBCBCAC t1:0x089C0000 t2:0x089D0000 t3:0x00000240
t4:0x00000008 t5:0x089BD0C0 t6:0x08C1A070 t7:0x00000000
s0:0x00000000 s1:0x089CA598 s2:0x61616161 s3:0x089D0000
s4:0x089BB974 s5:0x089CAE0C s6:0x0000002C s7:0x00000000
t8:0xDEADBEEF t9:0xDEADBEEF k0:0x09FFFB00 k1:0x00000000
gp:0x089C6110 sp:0x09FFEDD0 fp:0x09FFEDD0 ra:0x088B8B60
0x088BE860: 0x8CE20004 '....' - lw         $v0, 4($a3)

disasm 0x088BE840 60
0x088BE840: 0x12460016 '..F.' - beq        $s2, $a2, 0x088BE89C
0x088BE844: 0x2416002C ',..$' - li         $s6, 44
0x088BE848: 0x8EA20000 '....' - lw         $v0, 0($s5)
0x088BE84C: 0x3C09089C '...<' - lui        $t1, 0x89C
0x088BE850: 0x00560018 '..V.' - mult       $v0, $s6
0x088BE854: 0x2534B974 't.4%' - addiu      $s4, $t1, -18060
0x088BE858: 0x00004012 '.@..' - mflo       $t0
0x088BE85C: 0x01143821 '!8..' - addu       $a3, $t0, $s4
0x088BE860: 0x8CE20004 '....' - lw         $v0, 4($a3)
0x088BE864: 0x10400011 '..@.' - beqz       $v0, 0x088BE8AC
0x088BE868: 0x8EB10008 '....' - lw         $s1, 8($s5)
0x088BE86C: 0x02202821 '!( .' - move       $a1, $s1
0x088BE870: 0x0040F809 '..@.' - jalr       $v0
以下略


コントロール出来ているように見えるのは$v0と$s2です。
このうち$s2はどこから持ってきているのか分かりませんが、$v0は多分メモリ上のセーブデータ領域内(またはセーブデータから移された領域内)にある"aaaa"部分から持ってきています。
そのあとに
jalr $v0
がありますが、今回アドレス読み込みして命令を取り出す段階でとんでもない値になっているためバグってますので、仮にそれを$v0コントロールして直してしまうと、今度はその後に$v0が上書きされてしまいます。

これをexploitにしようと思うと、$t1、$s6、$s4が定数で、それを$v0を利用して$t0と$a3をうまくコントロールして再び$v0を任意の値にするという、考えただけでも頭がウニになりそうなよく分からないことをしなければなりません。

私はアセンブラの素人なのでここらが我慢の限界です。間違ってたら指摘してください。

確実なのは$v0はコントロール出来てjalr $v0に飛ばせていると言うことです。
しかし、その過程で何が起きてるか分かりませんし比較的ra値コントロールと比べては複雑な物になるでしょう。
私はまだmamosukeさんほど、アセンブラに詳しいわけではありませんが...（私はアセンブラONLYの人間なんですけどね）
まだ、分かりませんとしか今は言えません。

[mamosuke]

確実なのは$v0はコントロール出来てjalr $v0に飛ばせていると言うことです。

確実というか、
lw $v0, 4($a3)
で、もう一回$v0をメモリ上のデータでコントロールしなきゃいけないので...

逆算していったら計算できるのかな？眠いからよく分からん。

[パチュリー]

お二人とも、すごいですね^^;
私には、何がどうなってるのか・・・

[パチュリー]

http://122.213.253.58/m/j/143595/img/00 ... 6627757557
同じ、ゲームで違う結果になったので
結果貼ります。
宜しくお願いしますm(_ _)m

[minomushi]

http://122.213.253.58/m/j/143595/img/0016311783.txt?a=56627757557
同じ、ゲームで違う結果になったので
結果貼ります。
宜しくお願いしますm(_ _)m

コード: 全て選択

    Exception - Address load/inst fetch
    Thread ID - 0x0463FD6B
    Th Name   - user_main
    Module ID - 0x0464471F
    Mod Name  - パチュリーの好きなゲームだよんｗ
    EPC       - 0x088BE860
    Cause     - 0x10000010
    BadVAddr  - 0xC5587624
    Status    - 0x60088613
    zr:0x00000000 at:0xDEADBEEF v0:0x61616161 v1:0x089CD520
    a0:0x00000000 a1:0x089D0000 a2:0xFFFFFFFF a3:0xC5587620
    t0:0xBCBCBCAC t1:0x089C0000 t2:0x089D0000 t3:0x00000240
    t4:0x00000008 t5:0x089BD0C0 t6:0x08C1A070 t7:0x00000000
    s0:0x00000000 s1:0x089CA598 s2:0x61616161 s3:0x089D0000
    s4:0x089BB974 s5:0x089CAE0C s6:0x0000002C s7:0x00000000
    t8:0xDEADBEEF t9:0xDEADBEEF k0:0x09FFFB00 k1:0x00000000
    gp:0x089C6110 sp:0x09FFEDD0 fp:0x09FFEDD0 ra:0x088B8B60
    0x088BE860: 0x8CE20004 '....' - lw         $v0, 4($a3)



と同じゲームですか？
でしたら
disasm 0x088B7150 50
と入力してみてください。
まぁ、前の奴でも良いと思いますけどね。
十分にコントロールできているので。
今回はBus error(data)ですが、
前回はAddress load/inst fetch
となっています
これは、みんごると同じですので前回の結果の状態の方が良いかと・・・