3DS userlandl漏洞那些事 心得研究

三级用户 ph90 2023-6-10 2466

任天堂5月份给3DS推送了新的系统版本11.17.0,把一直使用的BannerBomb3漏洞给修了,一举破坏了所有3DS都可以软破的现状,也勾起了我的兴趣。我对一些常用的3DS用户侧漏洞进行了一些总结,用通熟易懂的文字写了一篇文章,介绍给大家。

由于我也只是简单翻了翻网上的资料总结的文章,并非漏洞挖掘的亲身经历者,难免有错误,还望海涵。


我与掌机结缘是从初中时代就开始了,但严格意义上来讲,在我的少年时代,我是没有拥有过掌机的。小时候家里没有给我买过任何游戏机,但我曾拥有过一台学习机——名人Windows CE。虽然被冠以“学习机”的名义,但实际上这是一台搭载Windows CE系统的掌上电脑(PDA),在2008年那个智能手机还没有出世的年代,我竟拥有了一台跨时代的智能大屏设备。

当时我在CE上装了很多原生的Windows游戏,也装了不少模拟器,包括GBA、NES等等,这些游戏陪初中的我度过了许多个日夜。当然,这些就是另一个故事了,以后有机会再讲。

就是因为这段经历,所以我对掌机游戏其实一直有爱好,所以大概在2015年我买了自己人生第一台掌机,就是新大三(New 3DSLL)。当时在电玩巴士淘宝店购买的,到手就是双系统。但当时的我对3DS pj这块一窍不通,以至于一度不敢随便升级它的系统,忍受老系统一堆堆的Bug,直到疫情期间我才摸索着研究了如何将它从A9LH升级到B9S,并升级了最新的系统。

今年(2023年)三月我去了趟东京,在中古店花了差不多国内一半的价钱拿下了一台老小三(Old 3DS)和一台新小三(New 3DS),至此我就拥有三台不同型号的3DS了。

3b9f5bd30cb2cbe665cd72b0b567a85.jpg

差不多也就在这个月,任天堂正式关闭了3DS的eShop服务器,也就意味着3DS这款设备已经走向了生命周期的尽头。那么如今,回看十多年来安全研究者和任天堂官方的博弈,其实还是蛮有趣的。

自从有了游戏机,玩家“自定义固件”就一定是一个无法跳过的话题,现如今3DS的自定义固件已经比较成熟了,大部分情况下都可以“软破”——即在无需任何硬件辅助或修改的情况下安装自定义固件。

这些方法主要使用到了两层漏洞:

  • 用户级(Userland)漏洞,攻击者需要首先通过一些用户级漏洞获取系统权限,才能进一步利用内核漏洞
  • 内核级(Kernel)漏洞,利用内核漏洞即可加载自定义固件,最后能干任何想干的事情

Boot9Strap就是利用内核级漏洞,在系统启动的Boot9阶段加载自定义代码,最后接管系统的控制权,进入用户自定义固件。这里面涉及的漏洞是硬件原因导致的,所以任天堂官方无法通过升级系统版本的方式修复Boot9Strap。

那么对于官方来讲,如果要与这种行为做对抗,则必须从用户级漏洞入手,让用户无法获得系统权限,也就无法安装Boot9Strap了。

本篇文章就来简单介绍一下,我们在软破3DS的过程中都有使用到哪些用户级漏洞,以及官方与安全研究者的对抗过程。

Soundhax

参考:

Soundhax漏洞是3DS中第一个免费、离线、稳定的漏洞与利用方法,利用涵盖了11.3以前的所有版本。

Soundhax实际上是一个Sound应用的堆溢出漏洞,Sound是3DS中的播放器,在播放恶意的m4a文件的过程中存在堆溢出漏洞,利用该漏洞就可以方便地在应用层执行任意代码。

我在日本买的Old 3DS就是通过这个方式安装了自定义固件,过程非常美妙。

该漏洞适配的3ds版本如下:

VersionN3DS/N2DSO3DS/2DS
US 1.0-11.3
JPN 1.0-11.3
EUR 1.0-11.3
KOR 4.0-11.3
CHN 4.0-11.3N/A
TWN 4.1-11.3N/A

Browserhax+SSLoth

参考:

这是以下三个漏洞的集合:

  • old-browserhax
  • new-browserhax
  • ssloth

其中,old-browserhax和new-browserhax分别是Old 3DS和New 3DS使用的利用方式。虽然Old 3DS和New 3DS使用的浏览器存在区别(SPIDER和SKATER),但二者均基于老版本的Webkit,所以通过浏览器漏洞执行任意代码是常见操作。

old-browserhax对应的漏洞是mrnbayoh通过fuzz找到的UAF漏洞,new-browserhax对应的漏洞是CVE-2013-2857

由于使用了Webkit内核,3DS浏览器需要遵守LGPL开源协议将源码开放下载,导致大量安全研究者可以直接通过代码审计的方式寻找漏洞。

对于层出不穷的浏览器漏洞,任天堂官方在9.9.0系统中增加了浏览器版本检查——3DS只有在升级了最新版系统后才能使用浏览器,这导致很多基于老版本浏览器漏洞的软破方式受到影响。

SSLoth漏洞就用来解决这个问题,它是存在于系统SSL模块中的一个漏洞,允许攻击者伪造证书,进而伪造任天堂官方服务器进行中间人攻击,让机器认为自己当前版本就是最新版,这样就可以使用浏览器了。

互联网上有一个使用了SSLoth搭建的公开代理服务器192.9.234.11:8080,只要将系统代理设置成这个服务器,即可完成版本欺骗攻击。结合这两个漏洞,打开浏览器即可触发漏洞。

SSLoth漏洞影响版本:

FirmwareVersionN3DS/N2DSO3DS/2DS
SAFE_FIRM(3DS安全模式)<11.15
NATIVE_FIRM1.0-11.13
NATIVE_FIRM> 11.13

old-browserhax影响版本:

11.9.0-42 -> 11.13.0-45 for USA, EUROPE, JAPAN, KOREA, CHINA, TAIWAN (hbmenu and boot9strap)11.10.0-43 -> 11.13.0-45 EUROPE (hbmenu and boot9strap)11.4.0-37 -> 11.8.0-41 for USA, EUROPE, JAPAN (boot9strap only)

new-browserhax影响版本:

11.9.0-42 -> 11.13.0-45 for USA, JAPAN (hbmenu and boot9strap)11.10.0-43 -> 11.13.0-45 for EUROPE (hbmenu and boot9strap)11.9.0-36 -> 11.13.0-39 for KOREA (hbmenu and boot9strap)11.4.0-37 -> 11.8.0-41 for USA, EUROPE, JAPAN (boot9strap only)

browserhax-XL+SSLoth

参考:

这个利用是old-browserhax和new-browserhax的继任者,因为这两个漏洞在11.14系统版本中被修复了,所以作者先尝试继续进行fuzz,并在SPIDER和SKATER中分别找到两个新的UAF漏洞并编写了利用。

当然,因为同样是浏览器漏洞,所以需要配合SSLoth使用。

值得注意的一点是,在11.14版本中其实SSLoth漏洞已经被修复了,无法直接在正常系统模式下使用;但是3DS有个安全模式(SAFE_FIRM)仍然存在这个问题,我们重启系统时按住L+R+Up+A即可进入安全模式并联网更新。此时使用SSLoth漏洞劫持更新服务器,运行我们的利用即可。

这两个新漏洞生命周期都很短,只影响11.14.0-46,很快被修复。

Seedminer+BannerBomb3

参考:

BannerBomb3是利用主机DSiWare数据管理中的一个漏洞,我们构造恶意的DSiWare备份并让主机加载,即可触发漏洞。

但是构造恶意DSiWare备份需要计算(爆破)出主机的加密密钥,需要一定的算力支持,可以在上面的网站中进行云爆破。

漏洞完整利用过程如下:

  1. 数据收集: 首先,需要收集一些关键信息,包括用户的3DS友好码(Friend Code)和设备的可移动(movable)种子(一个关键的加密数据文件)。
  2. 种子爆破(Bruteforce): 这一步是Seedminer的核心。这里利用一个称为“bruteforcemovable”的工具,通过尝试大量尝试来爆破用户可移动种子的LFCS(Local Friend Code Seed)。这个过程可能需要一些时间,因为需要在多个可能的种子中找到正确的一个。这个过程(bruteforce)通常需要借助GPU计算能力来加速。
  3. 安装自制启动器(boot9strap): 成功获取可移动种子后,使用一个名为“Frogtool”的工具将种子注入到一个特定的DSiWare游戏中。在这个过程中,会将DSiWare游戏修改为一个能够引导自制固件(如Luma3DS)的启动器。用户需要将这个修改过的游戏安装到3DS设备上。
  4. 安装自制固件(如Luma3DS): 通过修改的DSiWare游戏启动后,用户需要安装一个自制固件,通常是Luma3DS。自制固件允许用户运行未经任天堂官方认证的软件和游戏,实现更多的自定义功能。

原本这个Seedminer的漏洞是所有3DS软破的终极解,任何系统不用考虑前面所有的利用方法,直接将系统升级到最新版即可使用该方法。

但是2023年5月23日,任地狱突然给走向生命终结的3DS更新了新版系统11.17.0,在US/EU/JP地区修复了BannerBomb3漏洞。所以该漏洞最终影响版本仅为:

VERSION < 11.17.0-50 for US/EU/JP

super-skaterhax

参考:https://github.com/zoogie/super-skaterhax

前面的new-browserhax-XL被修复后,作者继续努力,找到了新的漏洞。不过这次作者只研究了New 3DS的浏览器SKATER,所以super-skaterhax这个利用仅限于New 3DS中。

这虽然仍是一个浏览器的UAF漏洞,但因为这个漏洞截止到今天(2023年6月9日)为止的最新版本11.17.0都没有修复,所以我们只需要把系统升级到最新版本即可,不再需要配合SSLoth漏洞使用。

漏洞影响版本:

11.15 - 11.17 on all 4 new3ds regions US,EU,JP,KR

这个漏洞就是目前为止New 3DS的终极解。

safecerthax

参考:

Old 3DS的安全模式(SAFE_FIRM)基于非常老的3.0系统版本,所以很多新版本已经修复的漏洞可以通过安全模式继续利用。

safecerthax就是利用这个原理,在进入Old 3DS安全模式后,利用了5.0.0以前存在的一处漏洞(PXIAM:ImportCertificates堆溢出),在ARM9 CPU上执行任意代码(3DS有两块CPU,ARM9和ARM11)。

漏洞影响版本:

ModelFirmwareVersionVulnerable?
O3DS/2DSSAFE_FIRM<11.15.0
O3DS/2DSNATIVE_FIRM1.0.0-4.4.0
O3DS/2DSNATIVE_FIRM>=5.0.0
N3DS/N2DSallall

但这个漏洞也不是Old 3DS的终极解决方案,在11.15.0后被修掉。(修掉的应该是SSLoth,这点我不太确定)

所以,截止到2023年6月9日,在BannerBomb3不能使用的最新版11.17.0中,Old 3DS是无法软破的。所以,如果你的机器是在这个版本以下,千万不要升级最新版。

ntrboot+R4烧录卡硬破

参考:

这个就是最后的办法,如果上面的所有软破方法都不能使用,比如最新版本Old 3DS,那么就只能使用硬破的方式了。

如果之前买过R4烧录卡,那么就不用在买额外的硬件设备,可以直接将ntrboot安装进烧录卡中。

然后通过磁铁,让3DS在启动时引导加载带ntrboot的固件,最后完成漏洞利用。


上一篇:谁知道GBC原装卡螺丝用什么代替可以拆掉??
下一篇:改色ez烧录卡然后顺便手搓个“反斗城”gba
最新回复 (4)
  • 三级用户 icemould 2023-6-10
    1 2
    脱水版:B9s磁铁法依旧完美有效。
  • 六级用户 reqa 2023-6-10
    1 3

    磁铁大法表示 没一个能打的 

  • 三级用户 hizuki 2023-6-10
    0 4
    学到了新知识
  • 四级用户 sakurachan 2023-6-10
    0 5
    关键是,除了磁铁法,其他都是为那些做作的伪善老外准备的,麻烦的要命,谁会去用啊
    • 老男人游戏网配套论坛
      6
        立即登录 立即注册
发新帖
本论坛禁止发布SWITCH和PS4相关资源,若有其他侵权内容,请致邮3360342659#qq.com(#替换成@)删除。