[Wii ] Wii軟改概念解析(三) 緩衝區溢位/Truch …
我們在第一篇文章中提到,要在Wii上面執行未授權軟體是很困難的
不過這當然無法阻擋駭客(Hacker)想在Wii上面執行自製(HomeBrew)軟體
的決心。當然,他們成功了,這邊先介紹一些相關的知識
1. 緩衝區溢位(Buffer Overflow)
可以說大多數的安全漏洞都是出自緩衝區溢位
起因是,我們最常使用的C語言,並沒有檢查緩衝區(Buffer)的大小
我們常常會在程式中設定一個固定大小的陣列(array)當做緩衝區
例如說用40個字元來儲存使用者姓名
在一般的狀況下,是沒什麼問題的
不過如果原始資料故意輸入超過40個字元
C語言在讀取的時候,依然會依序將它拷貝進陣列
結果,超過40個字元的部份,就會蓋寫記憶體中其它用途的地方
而造成所謂的Stack Overflow,或Heap Overflow
駭客就利用這點,來執行一些原本系統不允許的的動作
2. Twilight Hack
Wii上面,最早也最有名的一個緩衝區溢位攻擊
利用特殊的存檔,造成薩爾達傳說:曙光公主的緩衝區溢位問題
結果就是可以不經由正常的程序,執行自製的程式
由於是利用漏洞的關係,所以可以跳過檢查機制,執行任何你想要的程式
(基本上都是執行SD上根目錄的boot.elf或boot.dol)
SYSMENU ----------> 曙光公主 ---------------> 自製程式
光碟頻道 Twilight Hack
由於是利用有問題的存檔
所以後來的系統選單會檢查有問題的存檔並刪除,進而封住這個漏洞
在4.0系統選單的系統無法使用Twilight hack
3. Indiana Pwns/Smash Stack
在曙光公主被封住之後,還有二個漏洞被發現
一個是LEGO Indiana Jones(無日版),一個是大亂鬥美版
Indiana Pwn同樣是利用存檔的漏洞,理論上也可以被修復
(目前為止未被修復)
Smash Stack則是遊戲本身去讀取SD造成的問題
所以會非常不容易被修復,甚至有可能永遠存在
不過前述的這種方式,需要這三片遊戲其中一片
而且要進入遊戲玩一下,才能執行自製程式,不是很方便
所以主流是另一種BannerBomb的方式
4. BannerBomb
BannerBomb是利用SD資料管理(3.0~4.1)
或SD Menu(4.2)的緩衝區溢位來執行自製程式
這個方法,只需要一張SD卡,不需要特別的遊戲即可執行,相當方便
(但是系統選單必須是3.0以上,這就是為什麼軟改需要升到3.0以上的原因)
只要進入特定的系統選單位置,如SD Menu
就可以選擇執行自製程式了
(目前沒有4.3上面可用的BannerBomb)
5. Trucha Bug
單單可以執行程式,駭客們當然是不能滿足的
如果可以安裝成頻道,多方便啊!
但是任天堂在你安裝程式的時候,會檢查簽章,該怎麼辦呢?
這時候有人發現了一個bug,也就是有名的Trucha Bug
在比對你的RSA憑證(不懂請看本系列第一篇)是否有效時
任天堂犯了一個很嚴重的錯誤
在驗證憑證的有效性時,我們曉得需要Hash = Hash'(第一篇中有詳述)
但是很不幸地,任天堂使用了「字串比對」,而不是「記憶體比對」
字串比對有什麼問題?C語言中,字元值0代表字串的結束
只要遇到0,不管後面還有沒有,他都會停下來
所以,如果Hash中有0,它的有效長度被縮短了!
駭客也就可以比較輕易地偽造出一個假的憑證和簽章
也就是說,這個演算法,其實並沒有被破解
但是它的檢查機制卻有漏洞!
這個漏存在於當時所有的IOS和boot1之中
可以偽造簽章之後,也就大開了Wii軟改的方便之門
自製頻道(HBC)、自製的IOS、自製的Boot2
不管你想裝什麼東西進Wii,都可以
多彩多姿的Wii軟改世界,也就此展開了
(關於Trucha bug的攻防戰,後面再做說明)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.113.23.102
※ 編輯: priv 來自: 140.113.23.102 (07/12 17:30)
推
07/12 17:44, , 1F
07/12 17:44, 1F
推
07/12 17:46, , 2F
07/12 17:46, 2F
→
07/12 17:51, , 3F
07/12 17:51, 3F
※ 編輯: priv 來自: 140.113.23.102 (07/12 17:52)
→
07/12 17:53, , 4F
07/12 17:53, 4F
→
07/12 18:00, , 5F
07/12 18:00, 5F
推
07/12 20:32, , 6F
07/12 20:32, 6F
推
07/12 20:35, , 7F
07/12 20:35, 7F
推
07/12 21:07, , 8F
07/12 21:07, 8F
推
07/13 00:11, , 9F
07/13 00:11, 9F
推
07/13 00:40, , 10F
07/13 00:40, 10F
推
07/13 12:01, , 11F
07/13 12:01, 11F
推
07/13 14:13, , 12F
07/13 14:13, 12F
→
07/13 15:40, , 13F
07/13 15:40, 13F
推
07/13 15:45, , 14F
07/13 15:45, 14F
是有點容易誤解,改好了
※ 編輯: priv 來自: 140.113.23.102 (07/13 16:27)
→
07/13 16:56, , 15F
07/13 16:56, 15F
→
07/13 16:57, , 16F
07/13 16:57, 16F
推
07/13 21:13, , 17F
07/13 21:13, 17F
推
07/13 21:42, , 18F
07/13 21:42, 18F
→
07/13 21:44, , 19F
07/13 21:44, 19F
→
07/13 21:45, , 20F
07/13 21:45, 20F
→
07/13 21:46, , 21F
07/13 21:46, 21F
→
07/13 21:46, , 22F
07/13 21:46, 22F
→
07/13 21:46, , 23F
07/13 21:46, 23F
→
07/13 23:57, , 24F
07/13 23:57, 24F
→
07/13 23:57, , 25F
07/13 23:57, 25F
→
07/13 23:58, , 26F
07/13 23:58, 26F
→
07/14 00:00, , 27F
07/14 00:00, 27F
→
07/14 00:01, , 28F
07/14 00:01, 28F
推
07/14 15:08, , 29F
07/14 15:08, 29F
※ 編輯: priv 來自: 140.113.23.102 (07/15 16:32)
推
07/20 13:00, , 30F
07/20 13:00, 30F
→
07/30 08:20, , 31F
07/30 08:20, 31F