Bousculer la TI82A en trafiquant des fichiers...

→ **MyCalcs** profile · de **parrotgeek1** » 23 Avr 2017, 22:10

critor a écrit:Yeah, if the OS is flashed though UOSRECV, the validation shouldn't be a problem.

But I still need to disable the 512 bit validation because the 82A certificate doesn't even contain the 0A key, only 0B.

→ **MyCalcs** profile · de **grosged** » 28 Juil 2017, 18:59

Alors là !!! J'en ai trouvé un beau de bug sur TI82A !!

archives_voir.php?id=1120113

Un peu forcé, me direz-vous , puisque pour ce faire, j'ai légérement modifié l'un des octets d'un fichier de sauvegarde de Y1...héhéhé!
(au moyen d'un éditeur hexa, je modifie la longueur des données contenues dans Y1 , remplaçant sa longueur d'origine &01 par &3E )

Dès que ce Y1 trafiqué arrive dans la TI82A, rien qu'en tapant sur la touche f(x), ça va faire quelques gribouillis puis planter.
Mais le plus intéressant c'est que la TI82A plantera de différentes façons selon ce que vous aurez tapoté ou engendré comme message d'erreur juste avant l'appui sur f(x) !!!... =D

Bien sûr, je n'ai pas pu faire de capture ....Alors faîte la manip' , ça vaut le coup d'oeil !! =D

→ **MyCalcs** profile · de **Adriweb** » 28 Juil 2017, 21:03

C'est en gros la même chose qu'HeartBleed, tu fais croire que ton contenu a une certaine longueur, et le système va lire le contenu avec cette longueur en te faisant confiance. Donc en gros, ce qu'il y a en mémoire après ton propre contenu.
Technique très simple/courante de dump

→ **MyCalcs** profile · de **grosged** » 28 Juil 2017, 21:27

Oui, sauf que je ne cherche pas à faire de dump

En fait j'ose espérer que la TI82A finisse par tenter d'executer un endroit de la memoire... utopique, je sais

→ **MyCalcs** profile · de **Adriweb** » 29 Juil 2017, 09:25

Non mais j'ai compris, mais en l'occurence, c'est comme s'il dumpait (lisait) du contenu qu'il croit être une équation, et le met à l'écran sur Y1

Et comme c'est interprété comme des tokens, ça fait au minimum des choses bizarres...

→ **MyCalcs** profile · de **critor** » 29 Juil 2017, 09:54

grosged a écrit:Oui, sauf que je ne cherche pas à faire de dump En fait j'ose espérer que la TI82A finisse par tenter d'executer un endroit de la memoire... utopique, je sais

Pas utopique, puisque Brandon a réussi à déclencher une exécution de code RAM en restaurant un backup traffiqué.
Donc si tu trouves une autre façon de traffiquer la RAM pour en rendre une portion exécutable, why not.

→ **MyCalcs** profile · de **grosged** » 29 Juil 2017, 16:03

J'ai du nouveau :
J'ai tout d'abord rempli la 82A de programmes asm en tous genres et les ai tous archivés.
Puis j'ai effacé les liste L1... de sorte qu'il n'y ait absolument rien en ram
(parce que si je ne vide pas totalement la Ram, le reste marche pas!... auquel cas un simple reset)
Enfin j'ai transféré le Y1 trafiqué, puis j'ai pressé f(x)...

Et là , ça m'affiche pas mal de fois en boucle une page que l'on connaît bien (mais bizarrement en anglais et en inversion video)

RAM FREE 0K
ARC FREE 9080K
27
Scatter 27
..............................
..............................
..............................
..............................
(etc)

Au bout d'un moment , l'affichage arrête de boucler pour laisser place à un reset.

EDIT : en fonction de ce que je vais mettre dans ANS juste avant de presser la touche f(x), les valeurs à droite de RAM FREE et ARC FREE changent...J'ai même pu lire "RAM FREE 48583" ce qui tente à prouver que ces valeurs ne doivent pas être prises au sérieux

J'ai l'impression que tout ça a pour effet de simplement faire pointer sur une autre zone mémoire ( du fait d'un Y1 trafiqué) ce qui chamboule l'affichage classique des "Y1=... Y2=... Y3=.... etc"

→ **MyCalcs** profile · de **grosged** » 30 Juil 2017, 16:24

parrotgeek1 a écrit:
critor a écrit:It's a good idea.

There is a problem. (But it's solvable, I hope!)
UOSRECV does not disable the validation of the 512 bit RSA key.
But the 82 Advanced uses a "0B" key instead of "0A", which has never been factored.
I either need to patch the boot code to never validate the key, or to replace 0B key with 0A.
But the exploit program can only be 1000 bytes and it is 998 bytes.
So I need to shrink the program or factor 0B.key

Euh, Je ne pense pas avoir tout "saisi" , là...
Si je comprends bien, la méthode de Brandon permet d'exécuter un programme asm qui ne doit pas dépasser 1000 octets, c'est bien ça?
Et qu'est-ce qui fait 998 octets de long ?.. La clé 0A ?

→ **MyCalcs** profile · de **critor** » 30 Juil 2017, 17:15

@parrotgeek1
On the recent 84+ hardware revisions, the Boot Code is write protected.

It was already the case with the TI-83 Plus.fr USB, a TI-84 Plus with french key labels released in 2013 (Brandon's EpicFail and Flashy Boot Code reflashing tools just freeze...).
It's probably still the case with the TI-82 Advanced.