Un développeur connu sous le pseudo
ThroatyMumbo
a réussi à porter Windows CE 2.11, un Windows allégé que Microsoft avait sorti à la fin des années 90 pour les petits assistants personnels et certains routeurs, sur une vraie console Nintendo 64
On ne parle pas d'un émulateur ici, mais bien d'une N64 qui démarre sur un vrai bureau Windows, avec sa barre des tâches, son explorateur de fichiers et la possibilité de lancer des programmes CE.
Pour bien comprendre le délire, il faut savoir que la N64 et Windows n'ont pas grand chose en commun. La console utilise un processeur MIPS et un système maison signé Nintendo. Windows CE, c'est l'inverse : un système Microsoft conçu pour tourner sur des appareils embarqués comme les assistants personnels.
Sauf que les deux mondes se croisent sur deux points clés. Windows CE tournait déjà sur des puces MIPS à l'époque, et il était conçu pour vivre avec à peine 1 Mo de RAM, ce qui correspond pile aux capacités de la N64. ThroatyMumbo s'est inspiré de l'IBM Workpad Z50, un ancien assistant qui tournait sous CE sur du MIPS, pour se dire que le portage était techniquement faisable.
Côté méthode, le kernel Windows CE d'origine n'est pas modifié. Tout le travail est dans la couche d'abstraction matérielle, la fameuse HAL, qui sert d'interface entre le système et le matériel. Le développeur a écrit la sienne de zéro pour la N64 : démarrage, gestion des interruptions, du timing, de l'affichage.
Le contrôleur N64 devient une souris (le bouton A pour clic gauche, le B pour clic droit, logique). L'EverDrive-64 X7, une cartouche qui fait office de lecteur SD, sert de disque dur. Et le son passe par la puce audio d'origine de la console.
Ce qui marche est franchement bluffant : déplacer les fenêtres, fermer une boîte de dialogue, naviguer dans les fichiers, lancer des exécutables CE tiers, et même afficher une démo 3D qui utilise la puce graphique de la console. Ce qui ne marche pas : pas de clavier physique, pas de réseau, et il faut le SDK Windows CE 2.11 de Microsoft, qui n'est plus commercialisé depuis longtemps.
Aucune utilité concrète, évidemment. Personne ne va remplacer Mario Kart 64 par Word pour Windows CE. Mais c'est rigolo, et permet de prouver qu'on peut faire un truc complètement absurde, juste parce que c'est techniquement intéressant.
Andy Nguyen, le security engineer alias theflow0, vient de publier le hack qui transforme une PS5 Phat (les modèles originaux, pas les Slim ni les Pro) en PC 100% Linux. Et le truc cool c'est que ça marche désormais sur les firmwares 3.xx et 4.xx, et pas seulement sur les premières consoles oubliées dans leur boîte !
Pour rappel, en mars dernier,
Andy Nguyen avait fait tourner GTA 5 Enhanced en ray tracing sur sa PS5
, mais l'exploit était limité aux firmwares 1.xx et 2.xx, donc autant dire à des consoles qui n'avaient jamais vu Internet. Mais depuis hier, le projet est officiellement sorti sur
GitHub
avec un guide d'installation complet, et il a élargi son périmètre.
Concrètement, le hack utilise une vulnérabilité patchée de l'hyperviseur PS5 (corrigée dans les firmwares récents, d'où la liste fermée) pour débloquer le hardware. Une fois en place, la PS5 expose son CPU 8 cores (16 threads) à 3.5 GHz max et son GPU à 2.23 GHz max (les fréquences de boost de la console, en pratique ça tape souvent un peu plus bas pour éviter la surchauffe), ce qui suffit largement pour faire tourner Steam et des émulateurs sans que ça rame.
Et surtout, la sortie HDMI 4K à 60 Hz fonctionne, l'audio aussi, et tous les ports USB de la console sont opérationnels !
Côté firmwares supportés, c'est précis, attention ! Les versions 3.00, 3.10, 3.20 et 3.21 fonctionnent, mais sans support M.2. Les versions 4.00, 4.02, 4.03, 4.50 et 4.51, elles, supportent en plus le SSD M.2 dédié à Linux.
Du coup, plus la console est récente dans cette plage, plus on a de flexibilité. Pour les firmwares 5.xx, ça pourrait ensuite arriver plus tard, mais Linux tournera dans un environnement virtualisé restreint à côté de GameOS, donc avec des perfs et des fonctionnalités un peu dégradées.
Maintenant, pour vérifier votre firmware avant de tenter le coup, c'est dans Paramètres > Système > Informations console.
Pour l'install, il vous faudra une clé USB de 64 Go minimum (un SSD externe est recommandé), un clavier/souris USB, un adaptateur Ethernet ou Wi-Fi USB, et en option un dongle Bluetooth si vous voulez utiliser la DualSense. Le Bluetooth interne de la PS5 n'est pas encore supporté par contre.
Les ports recommandés pour booter sont l'USB Type-C en bas à l'avant ou les Type-A à l'arrière.
Pour réussir ce tour de passe-passe, l'exploit passe par
umtx2
, qui simule un faux DNS sur l'URL manuals.playstation.net pour envoyer le payload via socat. Du pur travail de hacker, mais le README est plutôt bien fichu et vous tiendra la main tout au long de l'install.
Évidemment, c'est encore expérimental.... Pas de dual-boot, donc il faut relancer l'exploit à chaque démarrage en mode Linux, le mode standby ne fonctionne pas, le screen saver est buggé, et certains écrans ont du mal avec la sortie HDMI. C'est donc pas pour du grand public et il vaut mieux être à l'aise avec la ligne de commande pour s'y mettre.
Reste que voir Andy Nguyen continuer son bon boulot sur la sécurité de la PlayStation, c'est toujours cool. Le mec est derrière plusieurs jailbreaks PS4 et début PS5, et combiné avec
la fuite des clés BootROM PS5 fin 2025
, l'écosystème commence enfin à respirer un air plus "libre".
Donc si vous avez une PS5 Phat sortie entre 2020 et début 2022 qui traîne avec un firmware d'époque, c'est peut-être le moment de la ressortir du placard.
478 binaires Unix peuvent servir à devenir root sur un système mal configuré.
C'est ce que recense
GTFOBins
, le projet open source monté par Emilio Pinna et Andrea Cardaci, qui est devenu LE bookmark obligatoire de tout pentester Linux.
Ce ne sont pas des exploits, hein, mais juste des fonctions parfaitement légitimes de programmes installés partout, et qui dans le bon contexte (genre un bit SUID oublié, qui fait tourner un binaire avec les droits du propriétaire, souvent root) permettent de spawner un shell, lire un fichier protégé, ou grimper d'un cran dans la hiérarchie des privilèges. Petit rappel quand même, faut déjà avoir un pied sur la machine, ce n'est pas une porte d'entrée magique depuis Internet.
Une fois sur leur site, vous tapez le nom d'un binaire dans le moteur de filtre (ou vous cliquez sur une fonction), et hop, vous tombez sur les commandes exactes à recopier-coller, et c'est plié en moins de dix secondes.
Par exemple, si votre cible a un sudo find sans mot de passe, le site vous donne sur un plateau d'argent sudo find . -exec /bin/sh \; -quit.
Un mawk qui tourne en SUID root ? Direct, mawk 'BEGIN {system("/bin/sh")}' et bonjour le shell privilégié. Un vim mal configuré (compilé avec le support Python ou Lua, ce qui est le cas dans la plupart des distros desktop) ? La page documente comment l'utiliser via :py ou :lua pour exécuter du code arbitraire et retomber sur ses pattes.
C'est donc la fin des recherches désespérées sur StackOverflow à 3h du matin pendant un CTF...
La philosophie de ce projet est claire... on ne casse rien, on détourne juste l'usage prévu. Le hic, c'est que la frontière entre détournement et exploitation est mince quand un sudoers mal écrit donne accès à un binaire trop puissant.
Les 478 binaires sont rangés selon 11 fonctions et 4 contextes d'exécution. Côté fonctions, vous avez : Shell (228 binaires permettent de spawner un shell, oui presque la moitié du catalogue), File-read (199), File-write (84), Inherit (71), Upload (34), Download (32), Command (30), Reverse-shell (21), Privilege-escalation (14), Library-load (11), et Bind-shell (7). Côté contextes : Unprivileged, Sudo, SUID, et Capabilities.
Et sur la page d'un binaire, chaque case du tableau vous dit super clairement "voilà comment t'en sors selon ce que tu as sous la main".
Les champions toutes catégories ce sont les langages interprétés et les shells eux-mêmes. zsh, socat, ruby, python, php, node, lua plus bash, tous cumulent 7 fonctions différentes chacun. C'est logique, dès que vous avez un interpréteur sous la main vous pouvez faire à peu près tout (lire, écrire, exécuter, ouvrir une socket).
D'ailleurs c'est pour ça que les sysadmins paranoïaques tirent une tête bizarre quand on leur dit qu'on a installé Python sur un serveur de prod sans cas d'usage explicite. Pfff... je les comprends, un Python qui traîne sur un serveur Debian avec un sudo NOPASSWD au-dessus, c'est game over en trois lignes.
Y'a un autre détail que je trouve cool également, c'est l'intégration
MITRE ATT&CK
. Chaque fonction du site est mappée à une technique du framework officiel, accessible via /mitre.json.
Donc pour les blue teams qui veulent justifier une règle de détection en réunion, c'est tout simplement cadeau !! Et pour ceux qui automatisent leurs scans, l'API JSON complète est dispo sur /api.json, du coup vous pouvez parser les 478 entrées avec un jq ou un petit script Python pour générer des règles de monitoring custom.
Bref, GTFOBins c'est aussi un cadeau pour les défenseurs, à condition de retourner la logique du projet. Voilà, ça vaut le coup d'y passer dix minutes par mois sur un audit.
Pour les Windowsiens qui se sentent oubliés, sachez que l'équivalent existe et s'appelle
LOLBAS
(Living Off The Land Binaries And Scripts), bien suivi par les analystes Windows depuis 2018. Même philosophie, même format, même utilité, juste appliqué aux exécutables Microsoft signés que Windows installe par défaut.
Les deux projets se citent mutuellement et forment ensemble la cartographie communautaire des techniques de Living Off The Land cross-OS. Si vous bossez sur les deux côtés du fossé, gardez les deux onglets ouverts en permanence ^^ !
Maintenant si l'angle élévation de privilèges via shell restreint vous intéresse, j'avais déjà couvert
une vieille faille sudo qui permettait carrément de sortir d'un chroot
, et plus largement la
bibliothèque Payloads All The Things
qui complète bien GTFOBins sur tout ce qui est exploitation web et post-exploitation. Les deux projets sont complémentaires, GTFOBins se concentre sur les binaires Unix et les abus locaux de fonctionnalités légitimes (shells, transferts, lectures, élévation conditionnelle), PayloadsAllTheThings ratisse plus large côté exploitation web.
Côté admin, le réflexe utile, à vrai dire c'est de lister vos binaires SUID avec find / -perm -4000 -type f 2>/dev/null, vérifier /etc/sudoers plus les fichiers /etc/sudoers.d/* avec sudo -l, puis de passer chaque candidat dans le filtre GTFOBins.
Si une entrée matche, c'est qu'il y a une fuite potentielle à boucher. Attention quand même, l'absence dans GTFOBins ne valide pas une règle sudo ou un SUID custom (wildcards, variables d'env, paths inscriptibles peuvent toujours créer un chemin d'évasion). Bref, c'est à faire avant de filer le moindre sudo NOPASSWD à quelqu'un !
Connexion
