师傅你好，有些问题想请教一下 about poc HOT 9 CLOSED

ics服务和你不在一个session ，要使用windbg的远程调试，参考微软的文档设置注册表，手动启动ics服务然后接上windbg

https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/preparing-to-debug-the-service-application#-enabling-the-debugging-of-the-initialization-code

from poc.

我是在ics服务的本机上运行的windbg，直接管理员attach pid在上面进行调试，主要似乎我发包后并没有让他成功服务触发crash导致崩溃？我使用的是WIN11 21h2，确定了漏洞存在和你给的分析未修复前一致

是我poc修改错了吗

from poc.

似乎虚拟机挂起的时候，还成功断到了，我在服务本机调试session的问题应该不是主要原因，我想是我的poc或者其他什么环境出了问题？

from poc.

你确定你能attach到ics服务上吗，我记得是附加不上去的，因为session隔离，只能用微软的方法调试svchost。
poc我晚上上传到这个仓库吧，你可以关注一下，我的数据包是这样，你可以对比一下
1.zip

from poc.

我想我应该是附加上去了的

from poc.

好的，麻烦师傅了，非常感谢

from poc.

你可以在ipnathlp!DhcpProcessMessage断点，在起一台虚拟机去发起DHCP请求看看会不会触发。

from poc.

我修改了poc和你流量尝试相同，似乎也没有触发crash，理论上应该只要hlen过大然后option不要包含53就行，但是似乎我不知道我在哪里出了问题哈哈哈

同时，我的dhcp网关会自发的给它发一些dhcp的流量，但是似乎ipnathlp!DhcpProcessMessage也没有正常断下

但是奇怪的是，挂起为啥可以断下

from poc.

你还是试一下微软提供的方法吧，我的想法是你这应该没有正常的断下

或者你单步调试，看看为什么没有进入到ipnathlp!DhcpProcessMessage，另外crash表现是不能响应DHCP了好像，记忆有点模糊了

from poc.