fx-es(ms)吧 关注:16,883贴子:307,332
- 31回复贴,共1页
我印象中几年前好像有人做到过CNX变量区拼字,但是我找不到了,所以无法断言。但991/999CN CW我发明的时候是这样的思路,两者应该可以触类旁通(我对底层语言一窍不通,所有成就全靠实验,所以我不确定是不是对的,但你们懂,结合一下,应该能看出我推论是不是对的):
①
注意到:当把16进制字母赋进变量时,会显示“<>?”之类的符号,而这些是3A~3F对应字符
推论:当我们查看变量界面时,计算器是直接把那个地方的内存以二级字符形式打印出来
猜想:如果有办法把更多值弄进变量区再查看变量区是不是就可以实现拼字
困难:Rop方法没有开发出来,只能使用普通卡bug
②
注意到:分数线爆机闪屏方法中,有时会在输入区显示大量同样的堆叠字符,并且在闪屏最后一步退出后,查看各种功能,有很多地方都被填了反复的几个字符
推论:分数线爆机原理是无限strcpy把后面内存全塞满
①②结合
猜测:将字符在分数线爆机时,放在特定位置,是不是就可以strcpy污染进变量区,然后变量区再打印出来拼字
后来实验成功了,我想应该就是这个原理。
①
注意到:当把16进制字母赋进变量时,会显示“<>?”之类的符号,而这些是3A~3F对应字符
推论:当我们查看变量界面时,计算器是直接把那个地方的内存以二级字符形式打印出来
猜想:如果有办法把更多值弄进变量区再查看变量区是不是就可以实现拼字
困难:Rop方法没有开发出来,只能使用普通卡bug
②
注意到:分数线爆机闪屏方法中,有时会在输入区显示大量同样的堆叠字符,并且在闪屏最后一步退出后,查看各种功能,有很多地方都被填了反复的几个字符
推论:分数线爆机原理是无限strcpy把后面内存全塞满
①②结合
猜测:将字符在分数线爆机时,放在特定位置,是不是就可以strcpy污染进变量区,然后变量区再打印出来拼字
后来实验成功了,我想应该就是这个原理。
