Partenaires :

Xbox One

Test programmation de la nand
à l'aide d'un Jtag
et du hack SMC sur la 360

Récupération clé DVD sur la carte mère

Introduction

Jusqu’à présent la seule faille possible et exploitable sur la 360 concernait les kernels 4532 et 4548.

Avec ces versions, il est possible de booter un DVD modifié de King Kong dans lequel un loader Xell a été injecté.

Cette méthode est maintenant révolue : Un nouveau système permet le boot en moins de 5 secondes sur toute 360 n’ayant pas reçue la mise à jour de cet été.

Il est normalement possible d’exploiter cette faille sur les différentes versions de carte mère de la 360 :

• Xenon (non HDMI)
• Zephyr (HDMI avec CPU en 90nm et GPU en 80nm)
• Falcon / Opus (HDMI avec CPU en 60nm)
• Jasper (HDMI avec CPU en 60nm, GPU en 60nm, nouveau southbridge)

Pour générer une image exploitant la faille, il faut disposer du code SMC hacké correspondant à la version de la carte mère.

Actuellement seul le code correspondant à la Xenon est disponible ce qui fait que la faille n’est pour le moment applicable qu’à la version non hdmi de la 360. Souhaitons que cela évolue rapidemment .

Que peut-on faire avec cette faille ?

Avec cette faille on peut :

• Installer et utiliser un os linux comme Ubuntu
• Trouver la clé DVD d’une carte mère dont on a grillé le lecteur !

Nécessaire pour l’opération

Pour mettre en œuvre cette faille, il faut :

• Un programmateur Jtag. Il existe deux versions : un pour port parallèle et un pour usb
• Le programme NandPro20 pour la programmation Jtag
• Le fichier prêt à l’emploi xenon_1921hack.bin
• Raccorder les broches GPIO au GPU par l’intermédiaire de résistances
• Un montage double nand : non obligatoire mais vivement conseillé pour garder un système de secours (voir test et montage de la puce Cygnos)

Programmateur Jtag

Il existe deux versions de programmateur :

• Une version pour port parallèle ( faible performance, environ 16Mb/35 mins selon le cpu)
• Une version pour port USB (haute performance, environ 16Mb/2mins) : Module Olimex LPC-H2148

Le raccordement est celui-ci :

Note sur le programmateur parallèle

Certains ports parallèles de PC fonctionnent en 5V et la carte mère de la 360 fonctionne en 3.3V.

Il faut donc utiliser des résistances de 100Ohms en série avec toutes les connexions, excepté les broches 11 (retour de signal de la 360) et 25 (signal de masse).

Si cela n’est pas fait, la carte mère de la 360 sera probablement grillée.

Note sur le programmateur usb

Pour que le module Olimex soit fonctionnel, il faut que ce dernier soit programmé avec le firmware adéquat (xspiflash.hex) fourni avec le programme NandPro20.

Cette programmation s’effectue via un port série qui n’est pas présent sur la carte.

J’ai utilisé l’interface XECUTER pour l’extraction de clé du Liteon pour raccorder l’interface Olimex ainsi que l’utilitaire LPC 2000 Flash utility pour la programmation du firmware.

Les broches de l’interface Olimex mises en œuvre sont :

• Connecteur Ext1 Broche 1 (P0.0) = Txd
• Connecteur Ext1 Broche 1 (P0.1) = Rxd
• Connecteur Ext1 Broche 26 (GND) = Gnd
• Connecteur Ext1 Broche 15 (P0.14) = Mode programmation

La broche 15 doit être connectée au Gnd avant mise sous tension du module pour activer le mode programmation.

Lecture la nand par Jtag

Une fois le programmateur raccordé,
lancer une invite de commande et saisir :

Nandpro xxx: -r16 nand.bin

Pour le programmateur parallèle, remplacer xxx par lpt
Pour le programmateur usb, remplacer xxx par usb

Réaliser deux lectures différentes et comparer celles-ci à l’aide d’un comparateur de fichiers hexa ou de la commande :

Fc /B nand.bin nand2.bin

Ouvrez l’image à l’aide d’un éditeur hexa ou d’un traitement de texte, la première ligne doit contenir :

© 2004-2007 Microsoft Corporation. All rights reserved.

Ne continuer pas plus loin tant que vous n’avez pas pu effectuer deux lectures identiques et vérifié le contenu.

Injection du code SMC hacké par Jtag

Utiliser le fichier prêt à l’emploi

xenon_1921hack.bin

pour injecter le hack SMC.

Ce fichier ne représente que 80 blocs de données à programmer à partir du bloc 0.

Pour injecter ce fichier, saisir la commande :

Nandpro xxx : -w16 xenon_1921hack.bin 0

Cela programmera les 80 premiers blocs de la mémoire (50 en hexadécimal)

Câblage du hack SMC

Le hack SMC utilise des broches non utilisées (utilisées normalement pour des leds non cablées sur la carte mère) pour positionner une adresse DMA à la séquence de démarrage.

Les broches utilisées appartiennent au southbridge. Elles opèrent en 3.3V alors que le GPU opère à 1.8V.

Il faut donc intégrer des résistances de 330Ohms en série pour éviter toute surtension.

Voici les raccordements à effectuer :

Avec le code modifié, le soutbridge effectuera un saut mémoire dans l’espace de l’hyperviseur et chargera le loader Xell.

Le southbridge a en effet accès à la mémoire nand car ses paramètres utiles (calibration des diodes de température, cibles thermiques sont stockées dans un bloc smc stocké dans la nand.

Note : Les points de raccordement pour les versions plus récentes ne sont pas encore disponible, mais en dessoudant le southbridge d’une carte Xenon et celui d’une carte Falcon, j’ai pu retrouver les pistes concernées et ainsi des points pour la Falcon.

Lancement du hack SMC

Il faut pour cela raccorder la 360 via un cable svga sur un écran, cela ne marche pas avec la sortie composite.

La résolution est de 1024x768.

Au bout de 3 secondes, l’écran devient bleu avec une entete Xell.

Le loader initialise et gère :

• la connexion ethernet
• les ports usb
• les périphériques de stockage
• les périphériques HID (clavier, souris)

Mise à jour Xell

Pour mettre à jour le code Xell, il n’est pas nécessaire de re-générer une image et de la reprogrammer dans la nand.

Il suffit de renommer la mise à jour en updxell.bin et de copier le fichier sur une clé usb formatée en FAT.

Le loader Xell détectera la mise à jour et attendra 15s avant de l’installer (pour permettre d’éteindre la console si l’on ne souhaite pas installer la mise à jour).

Si la mise à jour s’effectuait mal pour une quelconque raison, il est possible de redémarrer sur la version précédente en :

• connectant une manette usb à l’arrière de la console et appuyant sur le bouton X
• ou en appuyant sur le bouton Windows d’une télécommande infrarouge à l’allumage de la console

La mise à jour pourra alors être retentée.

Récupération de la clé DVD de la carte mère

Eh oui ! Il est possible de retrouver la clé du lecteur DVD directement sur la carte mère.

Lors du démarrage de Xell, les efuses et la clé cpu sont affichés :

Pour reconstituer la clé cpu, il suffit de recopier les 16 caractères de la 3ème ou 4ème ligne (identiques) puis les 16 caractères de la 5ème ou 6ème ligne (identiques).

Ouvrez ensuite le programme 360 Flash Tool et cliquer sur le bouton Keys.

Cocher et saisir la clé CPU précédemment relevée et valider.

Ouvrir ensuite l’extraction binaire réalisée lors de la lecture
complète de la nand :

La clé CPU et le modèle de lecteur sont alors affichés !

Dans mon cas, j’ai eu l’affichage d’un modèle de lecteur (OSIG) inconnu.
J’ai testé avec un lecteur hitachi et un lecteur benq la clé DVD relevée, cela à fonctionné dans les deux cas (avec kernel à jour)

 cette carte mère ne prend donc pas en considération le modèle de lecteur dvd !

Tuto réalisé par Bonx le 27 septembre 2009