Запуск пейлоадера через Fusée Gelée


Если вам помогло или просто понравилось это руководство, то я принимаю пожертвования
По вопросам, касающимся взлома обращайтесь в группу в вконтакте или Telegram
Об ошибках и неточностях просьба писать в группу руководства или в Telegram
Пользователям SX OS - SX OS НЕ РАБОТАЕТ на прошивке 6.2!

Что такое Fusée Gelée?

Некоторые мобильные процессоры NVIDIA Tegra, выпущенные до 2016 года, содержат Уязвимость переполнения буфера в режиме восстановления BootROM (RCM). Злоумышленник с физическим доступом к USB-порту устройства и возможностью принудительной перезагрузки устройства в RCM, может использовать уязвимость для выполнения непроверенного кода.

Fusée Gelée - это цепочка эксплойтов для Nintendo Switch, построенная вокруг аппаратной уязвимости чипа Nvidia Tegra. С её помощью можно будет запускать не подписанный код на Nintendo Switch. Поскольку уязвимость аппаратная, её невозможно закрыть на текущей ревизии железа. Последние версии приставки, однако, лишены этой дыры, поэтому будьте внимательны при покупке устройства для прошивки. Узнать прошивается ли ваша приставка можно в FAQ

Что такое RCM?

RCM - это штатный режим восстановления на Tegra-устройствах. Для того, чтобы войти в него, нужно выключить консоли, а затем зажать (POWER) + (VOL+) + (HOME). Но не тот (HOME), что мы видим на правом джойконе, а кнопку которую NVIDIA Tegra считает таковой. К сожалению, на самой приставке её нет. Нам понадобится отключить консоль, замкнуть определённый контакт на месте крепления правого joy-con и землю (для этого используется замыкатель), подключить консоль к ПК и отправить на неё пейлоадер любым удобным способом. Ниже мы рассмотрим подробнее как это делать.

Как все это происходит

В общем виде цепочка такая - вы вставляете замыкатель в приставку, подключаете её к хосту (ПК, смартфон, донгл - все это хосты, чип тоже хост, но к нему подключать не нужно - он подключён всегда и отправит пейлоад сам в нужный момент) и загружаете через хост на приставку пейлоад, который уже и запускает пропатченные модули. Фундаментальный минус в том, что каждый раз для запуска прошивки на приставке вам нужно иметь доступ к хосту, что не всегда удобно. Например, в поездку с собой брать приставку накладно - в случае зависания придётся доставать телефон, кабеля и запускать пейлоад. Выхода в данный момент два - покупка донгла и установка в приставку чипа. Установку чипа в Украине можно заказать у меня.

Что понадобится

Хост - устройство, с которого приставка будет получать пейлоад. В качетсве хоста может выступать компьютер, донгл, модчип или телефон с которого вы будете передавать пейлоад на Switch.

  • Замыкатель (подробнее ниже)
  • Карта памяти
  • Хост с подготовленным пейлоадом и возможность подключить к нему Switch (например, если хост - ПК, понадобится кабель USB type-C)

Замыкатель

Для корректной активации цепочки нам понадобится замкнуть между собой 1-й и 10-й контакты (либо 7-й и 10-й, оба варианта работают одинаково хорошо) на месте установки правого контроллера. Это можно сделать несколькими способами:

Далее в инструкции под словом “замыкатель” будет подразумеваться любой из этих способов

Инструкция

Часть I - Вход в RCM

Если вы используете AutoRCM, переходите сразу к следующей части

  1. Если в приставку вставлен картридж - вытащите его
  2. Выключите консоль
  3. Подключите ваш USB type C кабель к хосту
  4. Отсоедините правый joy-con
  5. Вставьте замыкатель в направляющую правого джойкона до упора
    • При активированном AutoRCM замыкатель вставлять не нужно

  6. Зажмите (VOL+) и вставьте ваш USB type C кабель, подключённый к хосту, в Switch

На экране приставки не должно ничего происходить. Если после подключения кабеля экран остаётся чёрным, то вы все делаете правильно! Если экран загорается надписью Nintendo - отключите консоль и повторите всё заново.

В общем случае переход в RCM осуществляется одновременным зажатием (POWER) + (VOL+) на выключенной приставке при вставленном замыкателе. В этой инструкции вставленный кабель, подключенный к хосту, включает приставку, что эквивалентно нажатию кнопки (POWER)

Может не получаться по следующим причинам:

  • Замкнуты не те контакты
  • Замыкатель ничего не замыкает, например проволока порвалась и контакты не замыкаются, или он изначально собран с ошибками
  • Кнопки зажаты не одновременно. Пробуйте зажимать вначале (VOL+), а затем, не отпуская её, нажмите (POWER)

Часть II - Использование Fusée Gelée

Выберите платформу, которая будет использоваться в качестве хоста:



Запуск через донгл

R4s Dongle

Что понадобится

Для запуска hekate просто вставьте донгл в приставку, когда она находится в режиме RCM. Для запуска любого другого пейлоада читайте дальше.

Запуск пейлоада

Что понадобится

  • Пейлоад, который вы собираетесь запускать
    • Для запуска hekate она должна быть прошита в донгл, дополнительно её никуда не нужно скидывать
  • Приставка должна быть в режиме RCM

Донгл необходимо зарядить комплектным кабелем, либо вставить во включённую приставку

Ниже описан метод запуска вообще любого пейлоада с помощью донгла, на котором прошита hekate. Если в вашем донгле не hekate, а SX OS, метод запуска будет отличаться. Для запуска просто прошивки перейдите сюда

Приставка должна находиться в режиме RCM!

  1. Вставьте карту памяти приставки в ПК
    • Приставка находится в режиме RCM, вы можете свободно извлекать из неё карту безо всяких дополнительных манипуляций. Выключать для извлечения карты приставку не нужно, иначе придётся снова вводить её в режим RCM
  2. Поместите пейлоад, который вы собираетесь запускать в папку bootloader/payloads
  3. Вставьте карту памяти обратно в консоль
  4. Вставьте донгл в консоль
    • Для запуска hekate донгл быть должен быть прошит. hekate запустится сразу, как только вы вставили донгл в консоль в режиме RCM. Если ваша цель была запуск hekate - вы её достигли, можете доставать замыкатель
  5. На экране приставки появится меню загрузчика hekate
    • Для перемещения по меню, hekata используйте клавиши (VOL-) и (VOL+), для выбора - (POWER)
  6. Выберите Launch -> Payloads… -> %ваш_пейлоад%.bin
  7. Пейлоад запустится на консоли
  8. Можете доставать замыкатель

SX OS Pro / R4S Dongle с прошитым пейлоадом от SX OS

Что понадобится

Донгл необходимо зарядить комплектным кабелем, либо вставить во включённую приставку

Запуск пейлоада

Приставка должна находиться в режиме RCM!

  1. Вставьте карту памяти приставки в ПК
    • Приставка находится в режиме RCM, вы можете свободно извлекать из неё карту безо всяких дополнительных манипуляций. Выключать для извлечения карты приставку не нужно, иначе придётся снова вводить её в режим RCM
  2. Поместите пейлоад, который вы собираетесь запускать в корень карты памяти
  3. Вставьте карту памяти обратно в консоль
  4. Вставьте донгл в консоль
  5. При появлении загрузочного экрана SX OS, зажмите и удерживайте (VOL+) до тех пор, пока не появится меню прошивки (замыкатель должен быть вставлен в Switch)
    • При активированном AutoRCM замыкатель вставлять не нужно
  6. Приставка загрузится в меню SX OS
  7. Выберите “Options”
  8. Выберите “Launch external payload”
  9. Выберите пейлоад, который хотите запустить
  10. Пейлоад запустится на консоли
  11. Можете доставать замыкатель

Запуск на Windows

Что понадобится

  • Свежая версия TegraRcmGUI
  • Пейлоад, который вы собираетесь запускать на приставке
  • USB type-С на USB type-A кабель для подключения Switch к ПК
  • Приставка должна быть в режиме RCM

Установка драйверов

Если драйвера уже были установлены, пропустите эту часть

  1. Запустите TegraRcmGUI.exe от имени Администратора
  2. Перейдите во вкладку Settings и нажмите “Install Driver
  3. Установите драйвер
  4. После успешной установки драйвера закройте программу

Запуск пейлоада

  1. Подключите приставку, находящуюся в режиме RCM к ПК
  2. Запустите TegraRcmGUI.exe от имени Администратора

  1. Нажмите на кнопку и выберите пейлоад, который собираетесь запустить
  2. Нажмите на кнопку “Inject Payload”, чтобы отправить пейлоад на консоль
  3. Пейлоад запустится на консоли
    • Если пейлоад не запускается проверьте правильно ли установлены драйвера. Правильно установленный драйвер устройства будет отображаться в диспетчере устройств в списке libusbK USB Devices
    • Попробуйте передать пейлоад ещё раз
    • Кнопкой можно добавить пейлоад в избранное
  4. Можете доставать замыкатель

Запуск на macOS

Что понадобится

  • Пейлоад, который вы собираетесь запускать на приставке
  • USB type-С на USB type-A для подключения Switch к Маку
  • Приставка должна быть в режиме RCM

Установка NXBoot

Для установки утилиты NXBoot, с помощью которой пейлоадеры будут доставляться на консоль, необходимо открыть программу Terminal и вставить следующий код:

sudo curl -L https://s3.eu-central-1.amazonaws.com/mologie.github.io/nxboot/bin/nxboot -o /usr/local/bin/nxboot && sudo chmod +x /usr/local/bin/nxboot

Таким образом, за одну операцию с официального сайта скачивается утилита, сохраняется в директории /usr/local/bin/ для того, чтоб не указывать путь до файла при запуске, и задаются права на исполнение.

Запуск пейлоада

Приставка должна находиться в режиме RCM!

  1. Откройте программу Terminal и выполните следующую команду: nxboot /путь/до/пейлоада
    • Путь должен быть прописан непосредственно до .bin-файла пейлоада
    • Чтоб не прописывать путь вручную, можно написать в терминале nxboot и перетянуть туда мышкой .bin-файл пейлоада
    • Если пейлоад не запускается, скорее всего консоль находится не в режиме RCM
  2. После успешного выполнения nxboot вы увидите на экране следующий текст success: payload was run. exiting, fair winds!
  3. Можете доставать замыкатель

Запуск на Linux \ ChromeOS \ Android \ macOS через браузер

Что понадобится

  • Пейлоад, который вы собираетесь запускать на приставке
  • USB type-С на USB type-A кабель для подключения Switch к хосту
  • Браузер Chrome (с другими браузерами работать не будет!)
  • Приставка должна быть в режиме RCM

Запуск пейлоада

Приставка должна находиться в режиме RCM!

  1. Откройте эту веб-страницу и включите Русский язык
  2. В части “Настройки отправки пейлоада” выберите пейлоад из списка “Загрузить свой пейлоад”, нажмите “Выберите файл”, после чего выберите .bin-файл вашего пейлоада
    • Не выбирайте пейлоад из списка! Используйте тот, что в архиве, иначе вы рискуете получить ошибку на том или ином этапе прошивки!
  3. Нажмите “Deliver payload!
  4. В открывшемся окне выберите “APX” и нажмите “Подключение
  5. Пейлоад запустится на консоли
  6. Можете доставать замыкатель