师傅你好，有些问题想请教一下

[zhefox]

在学习师傅的是博客复现漏洞的时候遇到了一些问题，方便请教一下为什么我复现ICS那个漏洞的时候断点断不下来，是我环境配置出问题了吗，不应该是虚拟机直接windows 第二个网卡开启共享，然后设置开启服务吗，然后linux直接用师傅说的poc注释调option53的地方，然后改hlen去触发溢出吗，我似乎无法复现，想请教一下师傅是如何配置环境的

[Chestnuts4]

ics服务和你不在一个session ，要使用windbg的远程调试，参考微软的文档设置注册表，手动启动ics服务然后接上windbg

https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/preparing-to-debug-the-service-application#-enabling-the-debugging-of-the-initialization-code

[zhefox]

我是在ics服务的本机上运行的windbg，直接管理员attach pid在上面进行调试，主要似乎我发包后并没有让他成功服务触发crash导致崩溃？我使用的是WIN11 21h2，确定了漏洞存在和你给的分析未修复前一致

是我poc修改错了吗

[zhefox]

似乎虚拟机挂起的时候，还成功断到了，我在服务本机调试session的问题应该不是主要原因，我想是我的poc或者其他什么环境出了问题？

[Chestnuts4]

你确定你能attach到ics服务上吗，我记得是附加不上去的，因为session隔离，只能用微软的方法调试svchost。
poc我晚上上传到这个仓库吧，你可以关注一下，我的数据包是这样，你可以对比一下
1.zip

[zhefox]

我想我应该是附加上去了的

[zhefox]

好的，麻烦师傅了，非常感谢

[Chestnuts4]

你可以在ipnathlp!DhcpProcessMessage断点，在起一台虚拟机去发起DHCP请求看看会不会触发。

[zhefox]

我修改了poc和你流量尝试相同，似乎也没有触发crash，理论上应该只要hlen过大然后option不要包含53就行，但是似乎我不知道我在哪里出了问题哈哈哈

同时，我的dhcp网关会自发的给它发一些dhcp的流量，但是似乎ipnathlp!DhcpProcessMessage也没有正常断下

但是奇怪的是，挂起为啥可以断下

[Chestnuts4]

你还是试一下微软提供的方法吧，我的想法是你这应该没有正常的断下

或者你单步调试，看看为什么没有进入到ipnathlp!DhcpProcessMessage，另外crash表现是不能响应DHCP了好像，记忆有点模糊了