Injection d'un jeu Snake via ROP hackstring sur fx-991CN X
Posted: 25 Jan 2024, 07:53
Rentrée 2004, Casio révolutionnait les calculatrices scientifiques avec sa nouvelle gamme ES, déclinée à l'international avec les fx-82/85/350ES pour l'entrée de gamme et fx-570/991ES pour le haut de gamme. Il fallut attendre la rentrée 2007 pour une déclinaison en France avec la fx-92 Collège 2D.
Cette nouvelle génération de calculatrices scientifiques innovait en effet en se dotant d'un écran matriciel comme c'était l'usage sur les calculatrices graphiques, d'une définition de 96×31 pixels. Ce changement de technologie d'écran s'accompagnait de deux nouveautés majeures :
96 pixels en largeur donc, cela nous disait quelque chose... c'est ce que nous avions sur les calculatrices graphiques monochromes de Texas Instruments à l'époque, à savoir les TI-82/83/84 avec 96×64 pixels, toujours utilisé aujourd'hui sur la TI-82 Advanced monochrome. C'est-à-dire que l'écran fx-92 Collège 2D correspondait à un demi-écran TI-82/83/84.
Et Casio est loin de s'être arrêté là, attisant de plus en plus nos rêves :
Cette nouvelle génération de calculatrices scientifiques innovait en effet en se dotant d'un écran matriciel comme c'était l'usage sur les calculatrices graphiques, d'une définition de 96×31 pixels. Ce changement de technologie d'écran s'accompagnait de deux nouveautés majeures :
- la possibilité de saisir les calculs en écriture naturelle
- ainsi qu'un moteur de calcul QPiRac, permettant de communiquer des résultats exacts pour les deux familles de nombres suivantes :
- QPi : multiples rationnels de π - $mathjax$\pm\frac{a\pi}{b}$mathjax$(pour les angles en radians notamment)
- QRac : binômes de rationnels et/ou radicaux - $mathjax$\frac{\pm a\sqrt{b} \pm c\sqrt{d}}{f}$mathjax$(ce qui couvre un large ensemble allant des fractions du collège aux racines de polynômes du 2nd degré au lycée en passant par nombre de valeurs remarquables en trigonométrie)
- QPi : multiples rationnels de π -
96 pixels en largeur donc, cela nous disait quelque chose... c'est ce que nous avions sur les calculatrices graphiques monochromes de Texas Instruments à l'époque, à savoir les TI-82/83/84 avec 96×64 pixels, toujours utilisé aujourd'hui sur la TI-82 Advanced monochrome. C'est-à-dire que l'écran fx-92 Collège 2D correspondait à un demi-écran TI-82/83/84.
Et Casio est loin de s'être arrêté là, attisant de plus en plus nos rêves :
- génération ES+ pour la rentrée 2008, avec la fx-92 Collège 2D+ en France
- génération EX Classwiz pour la rentrée 2014, avec en France la fx-92 Spéciale Collège à la rentrée 2015 et fx-92+ Spéciale Collège à la rentrée 2018, quadruplant la définition de l'écran à 192×63 pixels, désormais très supérieur à ce que les calculatrices graphiques monochromes offraient de meilleur, à savoir les 128×64 pixels des Casio Graph 25/35/75/85/95
- génération CW Classwiz pour la rentrée 2022, avec en France la fx-92 Collège Classwiz de rentrée 2023, passant l'écran en 4 niveaux de gris
Du côté des utilisateurs passionnés de calculatrices, on se prenait en effet déjà dès 2004 à rêver à de grandes choses avec ce fort bel écran... Et si on pouvait exécuter du code afin de faire afficher ce que l'on voulait sur l'écran, notamment des dessins ou même des jeux, comme on pouvait déjà le faire sur calculatrices graphiques justement ?
Certes, depuis la fx-92+ Spéciale Collège de rentrée 2018, Casio nous offre enfin des calculatrices scientifiques programmables, dans un langage orienté tracers à la Scratch/Logo/Turtle. En France nous pouvons donc enfin exploiter les formidables capacités de l'écran, et contrôler l'allumage de ses pixels.
Deux petits bémols toutefois :
Certes, depuis la fx-92+ Spéciale Collège de rentrée 2018, Casio nous offre enfin des calculatrices scientifiques programmables, dans un langage orienté tracers à la Scratch/Logo/Turtle. En France nous pouvons donc enfin exploiter les formidables capacités de l'écran, et contrôler l'allumage de ses pixels.
Deux petits bémols toutefois :
- ces possibilités ne concernent que les modèles fx-92 qui ne sont distribués qu'en France et en Belgique, plus précisément :
- la France depuis la fx-92+ Spéciale Collège de rentrée 2018
- la Belgique depuis la fx-92 Secondaire de rentrée 2023
- de plus, concernant les derniers modèles CW Classwiz fx-92 Collège Classwiz et fx-92 Secondaire de rentrée 2023, malheureusement les programmes que tu saisis n'ont aucun contrôle sur les niveaux de gris des pixels, ne permettant que de les allumer en noir
Donc comment fait-on pour programmer en mémoire des données et/ou du code sur les modèles non programmables ?
Une possibilité est d'utiliser une des failles du logiciel Casio pour nous permettre ensuite d'écrire des données ou du code en mémoire.
Une méthode est de corrompre le moteur de saisie en écriture naturelle, afin d'obtenir une ligne avec une boîte vide tout seule. En théorie la boîte vide seule est impossible à obtenir, car elle est toujours lié à un opérateur faisant occuper plus d'une ligne de saisie (quotient de fraction, puissance, racine carrée, ...).
Les étapes connues à ce jour permettant cela nécessitent d'enchaîner 2 calculs, le premier déclenchant la corruption et le deuxième permettant de récupérer la boîte vide. Sauf que l'on ne peut pas taper les calculs l'un après l'autre, car la saisie intermédiaire changerait justement l'état de la machine obtenu suite au premier calcul. Il faut donc saisir les 2 calculs sur la même ligne, grâce à l'opérateur
Tu vas vite voir, rappelons la façon de faire sur les calculatrices de génération EX Classwiz dont la fx-92 Spéciale Collège :
Et voilà, maintenant avec une saisie dans cette boîte vide tu peux déclencher des écritures de données ou code machine. Ces saisies pour boîte vide sont appelées hackstrings dans la communauté Casio anglophone.
Pour concevoir une hackstring, il est nécessaire de connaître les codes hexadécimaux des différents caractères ou jetons (tout élément insécable) de la calculatrice, que nous t'avons justement documentés.
Une possibilité est d'utiliser une des failles du logiciel Casio pour nous permettre ensuite d'écrire des données ou du code en mémoire.
Une méthode est de corrompre le moteur de saisie en écriture naturelle, afin d'obtenir une ligne avec une boîte vide tout seule. En théorie la boîte vide seule est impossible à obtenir, car elle est toujours lié à un opérateur faisant occuper plus d'une ligne de saisie (quotient de fraction, puissance, racine carrée, ...).
Les étapes connues à ce jour permettant cela nécessitent d'enchaîner 2 calculs, le premier déclenchant la corruption et le deuxième permettant de récupérer la boîte vide. Sauf que l'on ne peut pas taper les calculs l'un après l'autre, car la saisie intermédiaire changerait justement l'état de la machine obtenu suite au premier calcul. Il faut donc saisir les 2 calculs sur la même ligne, grâce à l'opérateur
:
présent sur toutes les machines de générations ES et CW Classwiz.Tu vas vite voir, rappelons la façon de faire sur les calculatrices de génération EX Classwiz dont la fx-92 Spéciale Collège :
- Reproduis exactement la saisie suivante :
- Tape
CALC
pour évaluer le premier calcul (avant les deux points).
Si tu as tout saisi correctement, signe de la corruption, la calculatrice va passer en écriture ligne : - Tape
EXE
pour évaluer maintenant le deuxième calcul (après les deux points).
Tu obtiens une erreur de syntaxe à cause de la boîte vide dans la racine : - Tape
←
pour éditer la saisie.
La calculatrice nous rappelle la saisie mais toujours en écriture ligne, avec, anomalie, le caractère boîte vide qui ne devrait pas pouvoir être saisi dans ce mode d'affichage : - Et voilà, en navigant avec les touches
←
et→
, il te te reste maintenant plus qu'à supprimer avec la toucheSUPPR
les caractères présents avant et après la boîte vide :
Et voilà, maintenant avec une saisie dans cette boîte vide tu peux déclencher des écritures de données ou code machine. Ces saisies pour boîte vide sont appelées hackstrings dans la communauté Casio anglophone.
Pour concevoir une hackstring, il est nécessaire de connaître les codes hexadécimaux des différents caractères ou jetons (tout élément insécable) de la calculatrice, que nous t'avons justement documentés.
Attention, précisons que cette faille a été corrigée sur les modèles de dernière génération CW Classwiz, dont les fx-92 Collège Classwiz et fx-92 Secondaire.
En effet, Casio a tout simplement supprimé la possibilité de juxtaposer plusieurs calcul dans une même saisie. Le caractère
En effet, Casio a tout simplement supprimé la possibilité de juxtaposer plusieurs calcul dans une même saisie. Le caractère
:
est toujours présent au clavier, notamment pour l'application tableur, mais ne peut plus être saisi dans l'application de calcul.En pratique toutefois, les formidables possibilités ouvertes par la boîte vide que nous te documentions dès la rentrée 2018, n'ont pas donné grand chose jusqu'à ce jour.
Il faut dire que les contraintes ne sont pas rares :
Il faut dire que les contraintes ne sont pas rares :
- Casio utilisant un logiciel différent pour chacun des très nombreux modèles de calculatrices scientifiques à chaque génération, une publication de saisie pour la boîte vide ciblerait un modèle bien précis, et devrait donc être adaptée pour d'autres modèles
- d'autre part, il y a une grosse difficulté hexadécimale ; n'avons que 108 jetons pouvant être saisis dans la boîte vide documentées pour les fx-92 Spéciale Collège, et nombre d'entre eux occupent 2 octets, ce qui est bien trop peu pour avoir la possibilité d'injecter librement en mémoire des octets pouvant nécessiter jusqu'à 256 valeurs différentes
Mais les choses s'accélèrent ces derniers temps, et la programmation des calculatrices Casio compatibles hackstrings atteint un niveau jamais vu.
Dans une actualité précédente, nous te présentions une hackstring pour fx-570ES+ (même génération que la fx-92 Collège 2D+) affichant un dessin plein écran par répétition d'un gros motif.
Dans une actualité précédente, nous te présentions une hackstring pour fx-570ES+ (même génération que la fx-92 Collège 2D+) affichant un dessin plein écran par répétition d'un gros motif.
贴吧用户_QQR3MM4 vient de repousser les limites techniques sur sa fx-991CN X (même génération que les fx-92 Spéciale Collège).
Via une hackstring, il a littéralement injecté dans la mémoire de la calculatrice un jeu écrit dans le langage machine du processeur nX-U8/100n de la calculatrice, Snake soit le jeu du serpent.
Plus précisément, le code prend le contrôle de la pile d'exécution via la technique d'attaque ROP.
Le programme se décompose en plusieurs segments (code machine, données) qui sont ici à écrire chacun à des adresses mémoire bien précises, alors que l'adresse d'écriture du code débordant d'une hackstring n'était jusqu'à présent pas contrôlable.
贴吧用户_QQR3MM4 a résolu le problème en concevant également un mini programme copiant un certain nombre d'octets lui faisant suite à une adresse spécifiée, adapté d'un éditeur mémoire également conçu en ROP par EwTE_H pour le même modèle.
Il faut donc du courage pour jouer, pas moins de 1208 octets rien que pour le code principal, à saisir à chaque exécution.
Via une hackstring, il a littéralement injecté dans la mémoire de la calculatrice un jeu écrit dans le langage machine du processeur nX-U8/100n de la calculatrice, Snake soit le jeu du serpent.
Plus précisément, le code prend le contrôle de la pile d'exécution via la technique d'attaque ROP.
Le programme se décompose en plusieurs segments (code machine, données) qui sont ici à écrire chacun à des adresses mémoire bien précises, alors que l'adresse d'écriture du code débordant d'une hackstring n'était jusqu'à présent pas contrôlable.
贴吧用户_QQR3MM4 a résolu le problème en concevant également un mini programme copiant un certain nombre d'octets lui faisant suite à une adresse spécifiée, adapté d'un éditeur mémoire également conçu en ROP par EwTE_H pour le même modèle.
Il faut donc du courage pour jouer, pas moins de 1208 octets rien que pour le code principal, à saisir à chaque exécution.
Attention toutefois, ce programme a été conçu spécifiquement pour la fx-991CN X ; il est très probable qu'il ne fonctionnera pas sans modifications sur un autre modèle Casio même dans la même génération EX Classwiz.
Il faut de plus une fx-991CN X munie de la version C du système, mais là c'est moins un problème dans le sens où il s'agit de la dernière version sortie par Casio et donc la plus facile à trouver.
Il faut de plus une fx-991CN X munie de la version C du système, mais là c'est moins un problème dans le sens où il s'agit de la dernière version sortie par Casio et donc la plus facile à trouver.
Source : https://tieba.baidu.com/p/8873639356