What is Hackers' Pub?

Hackers' Pub is a place for software engineers to share their knowledge and experience with each other. It's also an ActivityPub-enabled social network, so you can follow your favorite hackers in the fediverse and get their latest posts in your feed.

虹野みや 🔞 @ skeb募集中 @nm_test@misskey.io

12/22/2025, 6:23:19 AM

Public

らくがき

あさぎ＠Misskey写真部展よろしく @poisute_words@misskey.io

12/22/2025, 6:22:39 AM

Public

⬅️飲料

Yahoo!ニュース・トピックス - 国内 @news_yahoo_topics_domestic@rss-mstdn.studiofreesia.com

12/22/2025, 6:22:29 AM

Public

高市内閣支持率73% 与野党の反応
https://news.yahoo.co.jp/pickup/6563421?source=rss
#news_yahoo_topics_domestic

高市内閣支持率73% 与野党の反応 - Yahoo!ニュース

NNNと読売新聞がこの週末に行った世論調査で、高市内閣の支持率は、73パーセントと、高い水準を維持しています。与野党からはどんな反応がでているのでしょうか。

news.yahoo.co.jp · Yahoo!ニュース

✧✦Catherine✦✧ @whitequark@mastodon.social

12/22/2025, 6:22:20 AM

Public

love a VPS provider that advertises "NVMe" but the write speed bottoms out at around 3 MB/s. that's M for mega.

i could write that much data with a hard drive platter and a sharp needle :<

헤모 @hemosan.bsky.social@bsky.brid.gy

12/22/2025, 6:22:18 AM

Public

나가기싫습니다 가서 비싸고 왕 맛있는 밥 얻어먹지만 ...그정도면 ㄱㅊ은거같아 한끼에 몇만원하는거같앗어

이규호 @__kuro._.opaque@threads.net

12/22/2025, 6:21:45 AM

Public

산타클로스가 대단한 이유 스톤 다모음

May be an illustration of Superman, banner and text that says 'YOU YGUNNT YOUWANT WANT THE CAЛTET GAUNTLET INFINITY BACKPИ'

ねぐるみ @mumumuphoto@misskey.io

12/22/2025, 6:21:29 AM

Public

:chou_no_youni_mai:
じゅう :hachizi_guraini_kaeru:

badwolf @badwolf.bsky.social@bsky.brid.gy

12/22/2025, 6:21:26 AM

Public

가끔 비뭐시기 할 때가 그리워져 그냥 그때의 시간이

헤모 @hemosan.bsky.social@bsky.brid.gy

12/22/2025, 6:20:43 AM

Public

흐므냐냐냐

badwolf @badwolf.bsky.social@bsky.brid.gy

12/22/2025, 6:20:09 AM

Public

오렌지커피는 휴양지의 맛이 나는데 까딱 잘못하면 토맛이 난다(…)

Lee Dogeon @moreal@hackers.pub

12/22/2025, 1:24:36 AM

Quiet public

Shared by

洪民憙 (Hong Minhee)

Optique 문서를 보다가 argument ordering 파트에서 프로퍼티가 나타난(? appear) 순서대로 파서가 동작(? consume)한다고 되어 있어서 Object 타입인데 이게 작성한 순서대로 Object.entries() 같은 곳에서 순회되기를 기대할 수 있나 의문이 들었다(Object가 Map같은 거라고 생각했어서).

아래와 같이 타고 가면:

20.1.2.5 Object.entries ( O ) (User call)
7.3.23 EnumerableOwnProperties ( O, kind ) (called by 2. Let entryList be ? EnumerableOwnProperties(obj, key+value).
10.1.11 [[OwnPropertyKeys]] ( ) (called by 1. Let ownKeys be ? O.[[OwnPropertyKeys]]().)
10.1.11.1 OrdinaryOwnPropertyKeys ( O ) (called by 1. Return OrdinaryOwnPropertyKeys(O).)

아래와 같은 대목을 만나는데:

Let keys be a new empty List.

For each own property key P of O such that P is an array index, in ascending numeric index order, do

Append P to keys.

For each own property key P of O such that P is a String and P is not an array index, in ascending chronological order of property creation, do

Append P to keys.

For each own property key P of O such that P is a Symbol, in ascending chronological order of property creation, do

Append P to keys.

Return keys.

만약 key가 array index가 아닌 문자열 혹은 Symbol이라면 프로퍼티 생성 발생의 오름차순 순서(? ascending chronological order of property creation)대로 순회(?)해야한다고 적혀있다.

아마.. 잘 못 찾아서 못 본 걸수도 있지만 chronological이나 creation 같이 검색했을때 스펙에서 이를 다루는 방법을 정의하지는 않는 것 같았다. 예를 들어, PropertyDescriptor이 auto increment 되는 고유 ID를 갖고 있어야 하고 이를 통해 정렬해야한다, 거나?

실제 구현을 보고 싶어서 GitHub에 있는 V8 미러로 가서 보니 key들을 OrderedHashSet으로 갖고 있는 듯 했다. 생각해보니 그러면 되네, 싶어서 더는 안 찾아봤다.

암튼 Optique 문서대로 생성 순서대로 동작할 것 같다!

악하 @akastoot@hackers.pub

12/22/2025, 6:19:57 AM

Public

어제 송년회에서 오라클 이야기가 너와서 나도 써보려고 하는데... n8n이라도 올려야겠다.

lionhairdino @lionhairdino@hackers.pub

12/22/2025, 2:57:09 AM

Public

Shared by

洪民憙 (Hong Minhee)

가족들이 밋업 굿즈를 탐내는 건 처음이다. 다음번엔 앵그리 버전 한 표!

ここあにゃん @AmaseCocoa@ak.amase.cc

12/22/2025, 6:19:36 AM

Public

帰ってきてノートパソコンのSleep解除してしばらくしたら突然2%になってフリーズしたの怖すぎる

시아란 🌌 Private @siaranics.siaran.kr@bsky.brid.gy

12/22/2025, 5:40:31 AM

Public

Shared by

잇창명 EatChangmyeong💕🦋

네 다음 안창호 보유국...하.........

RE: https://bsky.app/profile/did:plc:ztlhxbd4q3cb46pyapofn4gj/post/3makhdquq4s2q

Frux 후룩쓰 (@fruxfrux.bsky.social)

This post requires authentication to view.

bsky.app · Bluesky Social

Angry Discordant @enigmato.bsky.social@bsky.brid.gy

12/22/2025, 6:19:04 AM

Public

신경차단 주사 맞으니 빈도는 좀 줄어듬. 없어지진 않네... 나머지는 진통소염제랑 근이완제로 어떻게 해 봐야.

Lizzie_g @lizzie_g@mastodon.au

12/22/2025, 6:18:05 AM

Public

My cat has the most beautiful eyes.

#cats #catsofmastodon

My beautiful cream tortoiseshell cat, Bug, showing a close up of her blue/green eyes.

BigHeadMode @BigHeadMode@social.linux.pizza

12/22/2025, 6:17:25 AM

Public

I like this blog https://www.chengeric.com/ethernet-test/

Finding the right ethernet jack using the command line

the bluetooth device is connected successfully

www.chengeric.com · Eric Cheng

Osumi Akari @oageo@c.osumiakari.jp

12/22/2025, 6:17:21 AM

Public

報道向け資料出た
www.jaxa.jp/projects/files/youtube/h3f8/jaxa_doc02_20251222.pdf #H3F8

tomosib1 @tomosib1@misskey.io

12/22/2025, 6:16:19 AM

Public

今日は出来るだけ早く仕事を終わらせてswitch2やりたい気持ち :menme_siosio:

洪民憙 (Hong Minhee) shared the below article:

미소녀 보려고 미연시를 켰더니 게임 콘솔이 해킹당했어요

Helloyunho @helloyunho@hackers.pub

당신은 게임에 갇힌 미소녀들을 보기 위해 PlayStation을 켰습니다. 마침 친구가 "나 이쪽 루트 클리어했는데 너도 볼래?" 라며 세이브 파일을 주네요. 마침 그 루트로 갈 시기를 놓친 당신은 친구의 세이브를 이용해 확인해보려고 합니다. 세이브를 등록 후, 미연시를 켜서 로드했는데..? 갑자기 콘솔이 멈추며 결국 콘솔 내부 저장공간을 포맷했습니다!

... 당연히 위 내용은 실제 스토리가 아니지만, 충분히 일어날 수 있습니다. 이 글에서 설명할 내용들로 말이죠.

yarpe

yarpe(Yet Another Ren'Py PlayStation Exploit)를 소개합니다!

이 스크립트는 Ren'Py 기반의 PlayStation 게임들에서 적용되는 취약점이며, 현 시점에서 적용 가능한 게임은 다음과 같습니다:

A YEAR OF SPRINGS PS4 (CUSA30428, CUSA30429, CUSA30430, CUSA30431)
Arcade Spirits: The New Challengers PS4 (CUSA32096, CUSA32097)

그런데, 이 모든 것이 어떻게 시작되었고, 어떻게 만들어진걸까요?

Xbox One/Series

사실 저는 PlayStation(이하 PS로 줄여서 말하겠습니다)에 관심이 없었습니다. 반대로 Xbox에 많은 관심이 있었죠. 처음 Xbox One/Series의 커널 취약점이 생겼을 때 Warhammer: Vermintide 2의 게임 세이브 취약점을 이용한 게임 덤프가 제 눈에 잡혔습니다. 그때 문뜩 든 생각이: "다른 게임은 이런 세이브 취약점이 없을까?" 였는데요, 저와 같이 이런 작업에 관심을 두는 친구가 먼저 추천해준 것은 RPG Maker(쯔꾸르 라고도 많이 불리죠)로 만들어진 게임들이었습니다. 아쉽게도, 콘솔 버전에서 사용하는 RPG Maker 게임들은 다른 세이브 구조를 가지고있었고, ACE(Arbitrary Code Execution)가 불가능했습니다.

그러다 문뜩 생각이 났습니다: "Ren'Py 게임들이 세이브로 Pickle을 사용하지 않나?"

Pickle

Python에는 Pickle이라는 직렬화(serialization) 방식이 존재합니다. 이는 Python의 (왠만한) 모든 object를 직렬화할 수 있는 특징이 있습니다.

하지만 만약 직렬화하지 못하는 object가 class의 property로 존재하는데, 이 class를 직렬화하고 싶다면 어떻게 해야할까요? Python은 이를 위해 __reduce__라는 method를 지원합니다. 이는 class가 직렬화/역직렬화 될 때 어떤 데이터를 사용하여 class를 다시 구성해야할지 명시해줍니다. 사용법은 다음과 같습니다:

class A:
    def __init__(self, a):
        self.a = a
        self.b = "b"

    def __reduce__(self):
        return self.__class__, (self.a,)

# serialize
a = A()
b = pickle.dumps(a)

그런데, 만약 __reduce__에 다른 Python 함수가 있으면 어떨까요? 예를 들어, exec 같은거라면 말이죠?

class Exploit:
    def __reduce__(self):
        return exec, ("print('Hello, World!'),)

exploit = Exploit()
a = pickle.dumps(exploit)

pickle.loads(a) # Hello, World!

...네, Pickle이 로딩될 때 문자열에 담긴 코드를 실행해버립니다... 이것이 Python 공식 Pickle 문서에서 Pickle이 안전하지 않다고 하는 이유겠죠.

세이브 하나로 Ren'Py 게임 가지고 놀기

이제 Ren'Py가 Pickle을 사용한다는 사실과, Pickle로 코드를 실행할 수 있다는 사실을 알았으니, 직접 실행해볼 시간입니다!

Ren'Py의 세이브는 1-1-LT1.save 같은 파일 이름을 가지고 있습니다. 멋져보이지만, 사실 그냥 Zip 파일이며, 확장자만 .save로 변경된겁니다. 이를 흔한 Zip 프로그램으로 풀어보면, 여러 파일들이 나오지만 우리가 관심있는 파일은 log 파일입니다. 이 파일이 Ren'Py의 Pickle을 담고있는 파일이죠. 이제 이 파일을 제가 만든 코드가 담긴 Pickle로 바꿔치기 하고, 다시 압축을 해서 넣으면..?

Ren'Py에서 코드 실행!

코드 실행이 됩니다! 너무 멋지네요!

코드 실행은 되는데, 이제 어쩌죠?

이제 코드 실행이 되는걸 알았으니, 다음 단계는 무엇일까요? 당연히 메모리 조작이죠! Google에서 잠시 조사한 결과 unsafe-python 이라는 저장소가 눈에 들어왔습니다. 이 저장소는 Python에서 직접적인 메모리 접근을 가능하게 합니다.

해당 취약점은 LOAD_CONST opcode가 아무 범위 검사를 하지 않는다는 점을 이용하여 가짜 PyObject를 만들 수 있고, 이를 이용하여 0부터 사실상 64비트 주소 끝자락까지의 bytearray 객체를 만들어 직접적인 메모리 접근을 합니다.

이제 우리는 메모리 주소만 알면 언제든지 해당 메모리를 수정할 수 있습니다! 덤으로, Python의 사랑스러운 slicing 문법은 이를 더 편하게 만듭니다.

# Assume we got raw memory bytearray
mem = getmem()

mem[0x18000000:0x18000008] = b'\0' * 8

이제 마음대로 메모리 조작도 가능하고, PyObject 생성도 가능하니, 저만의 프로그램을 메모리에 저장한 후 Python의 function 객체를 만들어 제 코드를 향하게 하면 끝입니다!

...가 된다면 정말 쉬울건데 말이죠...

메모리 영역 권한

메모리 영역에는 특정 권한이 부여되어 있습니다. Read, Write, eXecute 권한이 분리되어 있는데, 이름에서 알 수 있듯 execute 권한 없이는 해당 메모리 영역을 코드로서 실행할 수 없습니다.

문제되는 부분은, 보통 우리가 작성하는 영역은 read와 write만 있고, execute 권한이 없습니다! 만약 execute 권한이 없는 영역을 실행하려 한다면, CPU에서 권한 부족 오류를 발생시킬 것이고, 이는 segfault로 이어질 것입니다.

그럼 현재 부족한 메모리 권한으로 원하는 명령을 어떻게 실행할 수 있을까요? 답은 ROP에 있습니다.

ROP

ROP, Return Oriented Programming은 말 그대로 asm의 ret 명령을 기준으로 작동하는 코드를 말합니다.

ret 명령의 특징은 현재 CPU가 가리키는 stack pointer(x86_64 기준 RSP register) 에 적힌 주소 값을 instruction pointer(x86_64 기준 RIP register)에 적고 stack pointer를 움직인다는 것입니다. 그럼 ret를 실행하는 때에 stack pointer를 (실행 가능한 메모리 영역에 있는) 저희가 원하는 코드로 향하게 하면 어떨까요? 이를 하기 위해선, ret로 끝나면서 원하는 명령을 실행하는 메모리 주소를 미리 찾아놓아야 할 것입니다. 이를 우리는 gadget이라고 부릅니다.

Stack pointer에서도 권한 오류가 발생할 수 있지 않을까 하실 수도 있지만, stack pointer가 가리키는 메모리 영역은 read, write 권한만으로 충분하기 때문에 괜찮습니다.

이 사실을 알게된다면 이제 이런 구상을 할 수 있습니다:

Python list를 통해 custom stack을 만든다.
Custom stack에는 적절히 gadget을 배치한다.
Stack pointer를 원하는 주소(여기선 Python list의 elements 주소)로 변경하는 gadget을 향하도록 한 Python function 객체를 만든다.
해당 Python function 객체를 실행한다. Stack pointer가 옮겨지고 ret가 호출되며 원하는 명령이 실행된다!

...많은 것들이 축약되있지만 대략적으로 이런 구상이 가능하죠. 이제 이를 이용해서 취약점을 만들 시간입니다!

Gadget 찾기

앞서 말했듯 ROP를 하기 위해선 적절한 gadget을 찾는 것이 중요합니다. 저는 이를 위해 ROPgadget 툴을 이용했습니다. 원하는 executable과 함께 툴을 실행하면 ret로 끝나는 모든 asm 명령들을 메모리 주소 값과 함께 찾아줍니다! (가상 메모리 주소까지 고려해서요!)

다음엔 두 가지 방법이 있습니다:

Executable 메모리를 읽으며 gadget 주소를 동적으로 찾기
미리 해당 gadget들의 주소를 적어둔 dict 만들기

Xbox One/Series에선 1번 방법을 사용할 수 있었지만, PS에선 후에 언급할 내용 때문에 2번 방법을 쓸 수 밖에 없었습니다.

Stack pointer를 원하는 주소로 옮기기

이제 stack pointer를 만들어둔 Python list 주소로 옮기면 되는데, 어떻게 옮길까요? 저희가 원하는건 (x86_64 기준) mov rsp, ???와 ret입니다. 여기서 저 ???부분이 중요한데, 왜냐하면 Python function 호출이 어떻게 이루어지는지 알아야하며, 실행되는 CPU와 OS의 함수 호출 convention도 알아야하기 때문입니다.

여기서 함수 호출 convention이란 함수를 호출할 때 몇번째 argument가 어떤 register에 들어가는지를 뜻합니다.

Linux/UNIX 기반 OS의 x86_64 함수 호출 convention 순서는 다음과 같습니다: RDI, RSI, RDX, RCX, R8, R9

그리고 Python function 호출은 다음과 같이 이루어집니다: function_call(PyObject* func, PyObject *arg, PyObject *kw)

따라서 만약 mov rsp, [rdi + 0x30]; ret 라는 명령을 찾았다면, 직접 만드는 Python function 객체 안 0x30 정도 되는 곳에 원하는 stack 주소를 넣어야할 것이고, mov rsp, [rsi + 0x10]; ret 라는 명령을 찾았다면, 직접 tuple 객체를 만든 후 0x10 정도 되는 곳에 stack 주소를 저장, 만든 function 객체를 부를 때 my_func(*custom_tuple)과 같이 호출해야 할 것입니다.

다 만들었으니 실행하면 되는데... Python으로 못 돌아오고 crash?

ROP에서 가장 중요한걸 깜빡했네요. 직접 만든 stack을 실행하고 나선 다시 원래 stack으로 돌아와야겠죠.

저같은 경우는 push rbp; mov rbp, rsp; xor esi, esi; call [rdi + 0x130] 명령을 이용하여 rbp에 rsp를 저장한 후 원하는 명령을 실행하도록 만들었습니다(rdi + 0x130에는 stack pointer를 변경하는 명령이 있습니다).

이 다음 원하는 명령 실행 후 mov rsp, rbp; pop rbp; ret 명령을 통해 다시 원래 stack pointer로 돌아옵니다. 이렇게만 하면 될까요..? 아닙니다. 이렇게 하면 Python이 함수의 return value(x86_64 기준 RAX register)를 참조하려다 잘못된 값을 참조하여 오류가 발생합니다. 그럼 어떻게 해야할까요?

정답은 None 객체를 반환해주는 것입니다. 이렇게 하면 Python에게 정상적인 값을 반환하게 되며, 오류가 발생하지 않게 됩니다. (그리고 네, None도 하나의 객체입니다.)

주의할 점은 None 객체의 refcount를 1만큼 올려주어야 합니다. 그렇지 않으면 Python이 return value의 refcount를 줄이려 할 때, underflow 문제가 발생할 수 있습니다.

이것까지 마치면, 진짜로 저희가 원하는 명령을 실행할 수 있게 됩니다!

Xbox에서 테스트!

Xbox One Research 팀의 도움을 받아 Ren'Py 게임 파일을 받은 뒤 gadget을 찾고, 돌려봤습니다!

Xbox에서 ROP 후 원하는 Python script 실행!

Xbox에서 먼저 테스트한 결과 정상적으로 socket을 여는데 성공했으며, 해당 socket으로 다른 Python script를 실행하는 데 성공했습니다! (참고로 해당 게임은 Python의 socket 모듈을 지원하지 않습니다.)

Xbox 같은 경우 Windows와 거의 비슷한 함수를 사용할 수 있어서 편하게 진행할 수 있었습니다.

대망의 PS...

그렇게 Xbox에서 테스팅 후 몇달 뒤, PS 해킹에도 관심이 생겨 알아보게 되었습니다.

그렇게 알게된 Xbox와의 차이점은...

FreeBSD 기반의 OS를 사용함
자체적인 syscall들이 존재함
메모리에 올라간 실행 파일에는 ELF 해더가 없음(Import table 알 수 없음)
실행 파일에 기록된 모듈만 로드할 수 있음
PS5 기준: 실행 파일이 담긴 메모리 영역을 읽을 수 없음(XOM)

...Gadget 찾기에서 2번 방법을 사용한 이유가 XOM(eXecutable Only Memory) 때문입니다. 사실 PS4에선 1번 방법을 사용할 수 있지만, 저는 PS5 게임도 지원하고 싶었습니다.

PS5 Research & Development Discord 서버의 도움을 받아 게임 파일을 받았고, 똑같이 gadget을 찾아 작성하였습니다.

위에 적힌 제약들이 있어도, 기본 작동은 비슷하기 때문에 큰 문제 없이 만들 수 있었고, 그렇게 테스트를 한 결과..!

yarpe 구동 성공!

성공적으로 작동되었고, yarpe가 탄생할 수 있었습니다.

마무리

여기까지 오는데 (중간에 쉬었지만) 거의 1년이라는 시간이 걸렸습니다. 만들면서 힘든 것 보단 재밌다는 느낌을 더 많이 받았네요. (만드는 동안은 잠자는 시간마저 줄여가며 만들었던 것 같습니다.)

마무리하기 전에, 저에게 도움이 되었던 분들을 소개하며 끝내고자 합니다.

Xbox One Research 팀: 이 프로젝트의 시작점이 되어주었으며, 핵심 부분을 구성하는데 큰 도움이 되었습니다. (tuxuser, LukeFZ, Billy, harold님 등이 도와주셨습니다.)
Dr.Yenyen: PS4/5 게임들의 파일을 제공해주셨고, 많은 테스트를 진행해주셨습니다.
Gezine: 취약점을 개발하며 제가 궁금했던 부분이나 잘못된 부분을 답변/지적 해주셨습니다.
Sajjad: Dr.Yenyen님과 함께 많은 테스트를 진행해주셨습니다.
cow: 직접 파일 대조까지 해주시며 문제가 되는 부분을 고쳐주셨습니다.
earthonion: 테스트를 진행해주셨으며 많은 조언을 해주셨습니다.

긴 글 읽어주셔서 감사합니다.

Hacker News 50 @hn50@social.lansky.name

12/22/2025, 6:15:06 AM

Public

86Box v5.3

Link: https://86box.net/2025/12/21/86box-v5-3.html
Discussion: https://news.ycombinator.com/item?id=46350477

86Box v5.3

Release for December 2025.

86box.net · 86Box

badwolf @badwolf.bsky.social@bsky.brid.gy

12/22/2025, 6:13:14 AM

Public

주변에 이렇다할 정신건강이가 없어서 그런가

미소녀 보려고 미연시를 켰더니 게임 콘솔이 해킹당했어요

Helloyunho @helloyunho@hackers.pub

... 당연히 위 내용은 실제 스토리가 아니지만, 충분히 일어날 수 있습니다. 이 글에서 설명할 내용들로 말이죠.

yarpe

yarpe(Yet Another Ren'Py PlayStation Exploit)를 소개합니다!

이 스크립트는 Ren'Py 기반의 PlayStation 게임들에서 적용되는 취약점이며, 현 시점에서 적용 가능한 게임은 다음과 같습니다:

A YEAR OF SPRINGS PS4 (CUSA30428, CUSA30429, CUSA30430, CUSA30431)
Arcade Spirits: The New Challengers PS4 (CUSA32096, CUSA32097)

그런데, 이 모든 것이 어떻게 시작되었고, 어떻게 만들어진걸까요?

Xbox One/Series

그러다 문뜩 생각이 났습니다: "Ren'Py 게임들이 세이브로 Pickle을 사용하지 않나?"

Pickle

Python에는 Pickle이라는 직렬화(serialization) 방식이 존재합니다. 이는 Python의 (왠만한) 모든 object를 직렬화할 수 있는 특징이 있습니다.

class A:
    def __init__(self, a):
        self.a = a
        self.b = "b"

    def __reduce__(self):
        return self.__class__, (self.a,)

# serialize
a = A()
b = pickle.dumps(a)

그런데, 만약 __reduce__에 다른 Python 함수가 있으면 어떨까요? 예를 들어, exec 같은거라면 말이죠?

class Exploit:
    def __reduce__(self):
        return exec, ("print('Hello, World!'),)

exploit = Exploit()
a = pickle.dumps(exploit)

pickle.loads(a) # Hello, World!

...네, Pickle이 로딩될 때 문자열에 담긴 코드를 실행해버립니다... 이것이 Python 공식 Pickle 문서에서 Pickle이 안전하지 않다고 하는 이유겠죠.

세이브 하나로 Ren'Py 게임 가지고 놀기

이제 Ren'Py가 Pickle을 사용한다는 사실과, Pickle로 코드를 실행할 수 있다는 사실을 알았으니, 직접 실행해볼 시간입니다!

Ren'Py에서 코드 실행!

코드 실행이 됩니다! 너무 멋지네요!

코드 실행은 되는데, 이제 어쩌죠?

이제 우리는 메모리 주소만 알면 언제든지 해당 메모리를 수정할 수 있습니다! 덤으로, Python의 사랑스러운 slicing 문법은 이를 더 편하게 만듭니다.

# Assume we got raw memory bytearray
mem = getmem()

mem[0x18000000:0x18000008] = b'\0' * 8

...가 된다면 정말 쉬울건데 말이죠...

메모리 영역 권한

그럼 현재 부족한 메모리 권한으로 원하는 명령을 어떻게 실행할 수 있을까요? 답은 ROP에 있습니다.

ROP

ROP, Return Oriented Programming은 말 그대로 asm의 ret 명령을 기준으로 작동하는 코드를 말합니다.

이 사실을 알게된다면 이제 이런 구상을 할 수 있습니다:

Python list를 통해 custom stack을 만든다.
Custom stack에는 적절히 gadget을 배치한다.
Stack pointer를 원하는 주소(여기선 Python list의 elements 주소)로 변경하는 gadget을 향하도록 한 Python function 객체를 만든다.
해당 Python function 객체를 실행한다. Stack pointer가 옮겨지고 ret가 호출되며 원하는 명령이 실행된다!

...많은 것들이 축약되있지만 대략적으로 이런 구상이 가능하죠. 이제 이를 이용해서 취약점을 만들 시간입니다!

Gadget 찾기

다음엔 두 가지 방법이 있습니다:

Executable 메모리를 읽으며 gadget 주소를 동적으로 찾기
미리 해당 gadget들의 주소를 적어둔 dict 만들기

Xbox One/Series에선 1번 방법을 사용할 수 있었지만, PS에선 후에 언급할 내용 때문에 2번 방법을 쓸 수 밖에 없었습니다.

Stack pointer를 원하는 주소로 옮기기

여기서 함수 호출 convention이란 함수를 호출할 때 몇번째 argument가 어떤 register에 들어가는지를 뜻합니다.

Linux/UNIX 기반 OS의 x86_64 함수 호출 convention 순서는 다음과 같습니다: RDI, RSI, RDX, RCX, R8, R9

그리고 Python function 호출은 다음과 같이 이루어집니다: function_call(PyObject* func, PyObject *arg, PyObject *kw)

다 만들었으니 실행하면 되는데... Python으로 못 돌아오고 crash?

ROP에서 가장 중요한걸 깜빡했네요. 직접 만든 stack을 실행하고 나선 다시 원래 stack으로 돌아와야겠죠.

이것까지 마치면, 진짜로 저희가 원하는 명령을 실행할 수 있게 됩니다!

Xbox에서 테스트!

Xbox One Research 팀의 도움을 받아 Ren'Py 게임 파일을 받은 뒤 gadget을 찾고, 돌려봤습니다!

Xbox에서 ROP 후 원하는 Python script 실행!

Xbox 같은 경우 Windows와 거의 비슷한 함수를 사용할 수 있어서 편하게 진행할 수 있었습니다.

대망의 PS...

그렇게 Xbox에서 테스팅 후 몇달 뒤, PS 해킹에도 관심이 생겨 알아보게 되었습니다.

그렇게 알게된 Xbox와의 차이점은...

FreeBSD 기반의 OS를 사용함
자체적인 syscall들이 존재함
메모리에 올라간 실행 파일에는 ELF 해더가 없음(Import table 알 수 없음)
실행 파일에 기록된 모듈만 로드할 수 있음
PS5 기준: 실행 파일이 담긴 메모리 영역을 읽을 수 없음(XOM)

PS5 Research & Development Discord 서버의 도움을 받아 게임 파일을 받았고, 똑같이 gadget을 찾아 작성하였습니다.

위에 적힌 제약들이 있어도, 기본 작동은 비슷하기 때문에 큰 문제 없이 만들 수 있었고, 그렇게 테스트를 한 결과..!

yarpe 구동 성공!

성공적으로 작동되었고, yarpe가 탄생할 수 있었습니다.

마무리

마무리하기 전에, 저에게 도움이 되었던 분들을 소개하며 끝내고자 합니다.

Xbox One Research 팀: 이 프로젝트의 시작점이 되어주었으며, 핵심 부분을 구성하는데 큰 도움이 되었습니다. (tuxuser, LukeFZ, Billy, harold님 등이 도와주셨습니다.)
Dr.Yenyen: PS4/5 게임들의 파일을 제공해주셨고, 많은 테스트를 진행해주셨습니다.
Gezine: 취약점을 개발하며 제가 궁금했던 부분이나 잘못된 부분을 답변/지적 해주셨습니다.
Sajjad: Dr.Yenyen님과 함께 많은 테스트를 진행해주셨습니다.
cow: 직접 파일 대조까지 해주시며 문제가 되는 부분을 고쳐주셨습니다.
earthonion: 테스트를 진행해주셨으며 많은 조언을 해주셨습니다.

긴 글 읽어주셔서 감사합니다.

에스텔 뉴스계정 @transborder.bsky.social@bsky.brid.gy

12/22/2025, 3:36:17 AM

Public

Shared by

badwolf

식품 기업들, '저속 노화' 정희원 박사와 협업 중단 송고2025-12-22 10:48 www.yna.co.kr/view/AKR2025...

식품 기업들, '저속 노화' 정희원 박사와 협업 중단 ...

식품 기업들, '저속 노화' 정희원 박사와 협업 중단 | 연합뉴스

(서울=연합뉴스) 김윤구 기자 = '저속노화' 열풍을 타고 식품업계와 협업을 이어온 정희원 박사가 강제추행 등 혐의로 고소되면서 관련 기업들이 ...

www.yna.co.kr · 연합뉴스

밤🌙 @midnight-layla.bsky.social@bsky.brid.gy

12/22/2025, 6:12:20 AM

Public

어우 일찍 자도 아침 먹고 자니까 또 오전 시간 날려버렸잖아 ㅠㅠ 낮잠을 그냥 안 자야만… 근데 또 안 자면 피곤해

すねぶ @snb_te@misskey.io

12/22/2025, 6:12:18 AM

Public

ぐえー腹痛いﾝｺﾞ
トイレ行きすぎてケツがいてぇ

루미논카노네스🌨️ @atLuminon@byeolvit.space

12/22/2025, 6:08:28 AM

Public

커피를 먹어야스것는데 집에 커피가 없다..

Tangled @tangled.sh@bsky.brid.gy

12/22/2025, 6:08:26 AM

Public

all services should be back online!

RE: https://bsky.app/profile/did:plc:wshs7t2adsemcrrd4snkeqli/post/3makdntoi6c2q

ゆずき*10 @yuzuki10@misskey.io

12/22/2025, 6:07:31 AM

Public

隠居したい

wen @wenn@g0v.social

12/22/2025, 4:37:26 AM

Public

Shared by

MJ+

推個：塔娜．法蘭琪「都柏林凶案小隊」系列（沒有劇透，只是長）

最初在「每日優惠」看到《都柏林凶案小隊》一日特價時，因為不認識這套書，原本並沒有打算購買；沒想到活動前一天開始推薦文如雨後春筍冒出來，更有幾則表示整套999這價格錯過不再有（還可以疊375！），所以反覆掙扎後，還是咬牙買了。

打開第一集《神祕森林》看了幾頁後——有買到真是太好了！

才讀完「楔子」我就喜歡上這本書了。
原作營造的氣圍、譯者優美的譯文都好棒。
（還有很用心的字型效果。）
看完第一本的時候就是「哇，這是可以用這個價格買到的嗎？」

這系列各冊的字數也很驚人，廢寢忘食地看也才看完三本；要讀完這一套六本應該不只2500分鐘吧？情節設計讓人欲罷不能，但一本字數又好多，到底是要繼續看下一本，還是先休息緩一陣子把後面集數留到明年活動再繼續讀，好掙扎啊～

總之，謝謝限時特價，謝謝群星文化買了電子書版權，謝謝皇冠文化授權譯文，謝謝網友們的大力推薦，讓我能以好實惠的價格看到這系列作品。

#讀墨閱讀馬拉松 #群星文化 #TanaFrench #穆卓芸 #推理 #懸疑 #我推的

わくさん🤿 @wakusan0812@misskey.io

12/22/2025, 6:05:53 AM

Public

:meowcry:

オープンな打ち合わせスペースで
感情出して怒るのやめてくれ､､､
別のエリアに逃げてきた

hackaday @hackaday@hackaday.social

12/22/2025, 6:05:31 AM

Public

Origami on another Level with 3D Printing

https://hackaday.com/2025/12/21/origami-on-another-level-with-3d-printing/

Origami On Another Level With 3D Printing

Origami has become known as a miracle technique for designers. Elegant compliant mechanisms can leverage the material properties of a single geometry in ways that are sometimes stronger than those …

hackaday.com · Hackaday

しゅうまい君（バカンス） @shuumai@misskey.io

12/22/2025, 6:05:01 AM

Public

⬅️マヌケ

お坐 @oza_osuwari@misskey.io

12/22/2025, 6:04:59 AM

Public

分納指示を印刷所に出しておらず、着信で起床

お坐 @oza_osuwari@misskey.io

12/22/2025, 6:03:58 AM

Public

:ohayo: :kumapu_huton:

earthling @appassionato@mastodon.social

12/22/2025, 6:02:11 AM

Public

Sunset Solstice over Stonehenge

Yesterday the Sun reached its southernmost point in planet Earth's sky. Called a solstice, many cultures mark yesterday's date as a change of seasons -- from autumn to winter in Earth's Northern Hemisphere and from spring to summer in Earth's Southern Hemisphere. The featured image was taken just before the longest night of the 2025 northern year at Stonehenge in United Kingdom.

English Heritage, Josh Dury

#photography
#solstice
#sunset
#Stonehenge
#UK

There, through stones precisely placed 4,500 years ago, a 4.5 billion year old large glowing orb is seen setting. Even given the precession of the Earth's rotational axis over the millennia, the Sun continues to set over Stonehenge in an astronomically significant way.

hailey @hailey.at@bsky.brid.gy

12/22/2025, 6:02:04 AM

Public

took a peek at the groupings of posts on bluesky over the past 48 hours

한겨레 @hanibsky.bsky.social@bsky.brid.gy

12/22/2025, 6:00:06 AM

Public

해방 직후 혼란기에 이른바 ‘조선정판사 위조지폐 사건’ 주모자로 몰려 무기징역을 선고받고 한국전쟁 중 처형된 것으로 알려진 독립운동가 고 이관술 선생이 재심에서 79년 만에 무죄를 선고받았습니다.

79년 만의 명예회복…‘조선정판사 사건’ 이관술 선생 ...

79년 만의 명예회복…‘조선정판사 사건’ 이관술 선생 재심서 무죄

해방 직후 혼란기에 이른바 ‘조선정판사 위조지폐 사건’ 주모자로 몰려 무기징역을 선고받고 한국전쟁 중 처형된 것으로 알려진 독립운동가 고 이관술 선생이 재심에서 79년 만에 무죄를 선고받았다. 서울중앙지법 형사21부(재판장 이현복)는 22일 이 선생의 통화위조 등 혐의

www.hani.co.kr · 한겨레

earthling @appassionato@mastodon.social

12/22/2025, 5:57:57 AM

Public

DON'T JUDGE
SOMEONE JUST
BECAUSE
THEY SIN
DIFFERENTLY
THAN YOU.

via deepwithinwords

#quotes

DON'T JUDGE
SOMEONE JUST
BECAUSE
THEY SIN
DIFFERENTLY
THAN YOU.

earthling @appassionato@mastodon.social

12/22/2025, 5:55:37 AM

Public

Crested tit / long-tailed tit / Aegithalos caudatus

https://www.instagram.com/animalfriend4ever/

via pangeen

#photography
#birds

有栖かずみ @arisu_kazumi@misskey.io

12/22/2025, 5:54:53 AM

Public

宝くじ当ててもお金使いすぎて不幸になる人多いらしいから、当選金を代わりに受け取ってあげたい…

うらわゆう @urawayuu@misskey.io

5/15/2025, 1:15:20 PM

Public

Shared by

고양이귀 후드단 단장 Judah

🍓よりあ・な・た💖

kazuhito @kazuhito@vivaldi.net

12/22/2025, 5:53:26 AM

Public

LE-5B で何が起きてるんだろうか……

garmy @garmy@activitypub.garmy.jp

12/22/2025, 5:47:51 AM

Public

Shared by

kazuhito

SECO1の時点から27秒短くてズレていたのか。SELI2が15秒早く行われたがすぐ止まった、よりもしんどい。うーん、実績のあるはずのLE-5B系列でも、いや、だからこそ何かが隠れているんだろうか…

なんみ @hannami@misskey.io

12/22/2025, 5:51:48 AM

Public

うちのこぬいはいいぞ

메르헨 @marchen523@bakedbean.xyz

12/22/2025, 5:49:05 AM

Quiet public

어떤 썰을 봤다
폰을 초기화 해야하는데 안되서 대리점 방문하고 한 말씀
"핸드폰 초토화 시켜 주세요"

nulta @nulta@mi.rerac.dev

12/22/2025, 5:50:40 AM

Quiet public

Shared by

힐씨

@marchen523@bakedbean.xyz메르헨 ... 넵, 고객님!

메르헨 @marchen523@bakedbean.xyz

12/22/2025, 5:49:05 AM

Quiet public

Shared by

힐씨

어떤 썰을 봤다
폰을 초기화 해야하는데 안되서 대리점 방문하고 한 말씀
"핸드폰 초토화 시켜 주세요"

とるねど🕊️ @trnd@misskey.io

12/22/2025, 5:50:43 AM

Public

近所以外全部公開

월퍄 @wolffia@bakedbean.xyz

12/22/2025, 5:49:41 AM

Quiet public

Shared by

힐씨

방금 갈아버린 메르헨님의 두 뿔은
회분함량이 기준치 0.5% 초과해서
당국에 전량폐기를 지시하였읍니다

Syntax	Description	Examples
`"` keyword `"`	Finds the string within quotes, including spaces. Case-insensitive. (Escape quotes inside with `\"`)	`"Hackers' Pub"`
`from:` handle	Finds content written by the specified user.	`from:hongminhee` `from:hongminhee@hollo.social`
`lang:` ISO 639-1	Finds content written in the specified language.	`lang:en`
`#` tag	Finds content with the specified tag. Case-insensitive.	`#HackersPub`
condition condition	Finds content that satisfies both conditions on either side of the space (logical AND).	`"Hackers' Pub" lang:en`
condition `OR` condition	Finds content that satisfies at least one of the conditions on either side of the OR operator (logical OR).	`#HackersPub OR "Hackers' Pub" lang:en`
`(` condition `)`	Combines the operators within the parentheses first.	`(#HackersPub OR "Hackers' Pub" OR "Hackers Pub") lang:en`