首页
社区
课程
招聘
[原创]windows内核漏洞学习-HEVD篇之双机调试环境搭建(mac)
发表于: 2022-2-17 10:08 17635

[原创]windows内核漏洞学习-HEVD篇之双机调试环境搭建(mac)

2022-2-17 10:08
17635

最近开始学习windows内核漏洞,本来想直接开始复现一些内核漏洞,然而发现有很多需要补充的知识,就先从入门靶场HEVD开始学习
环境搭建虽然有蛮多参考文章,但还是碰到了一些奇奇怪怪的问题,所以记录一下

1、被调试机-win7 sp x86虚拟机
2、调试机-win10 x64虚拟机
ps:mac没法用virtualkd(太难受了)(用的串口,内存16G开调试并不卡)

1、安装好两个虚拟机之后,修改两个虚拟机的.vmx文件
被调试机win7:

删除所有serial0相关字段,新增以下配置:

调试机win10:
删除所有serial0相关字段,新增以下配置:

2、修改被调试机win7的开机启动项

以管理员权限打开CMD,依次输入




3、在调试机win10的windbg中设置内核调试的参数

4、确定windbg参数,点击后发现windbg在等待连接了,重启win7后进入调试,即可发现成功连接

连接成功:

断点调试:

(1)win7 sp x86虚拟机没法安装vmware tools
如图,按钮是灰色的

解决方法:
参考:https://cyhour.com/1645/
1、找到vmware里的windows.iso

2、设置为虚拟机的cd/dvd

3、开启虚拟机后即可点击打开vmware tools的安装包

4、安装过程中出现错误

5、下载kb4474419:kb4474419(ps:参考文章中链接失效了,重新找了官网的链接)并安装

6、重新安装vmware tools即可

1、HEVD
2、OSR驱动加载器

打开被调试机win7
打开osr driver loader,driver path设置为hevd.sys的路径


注册服务并启动

在调试机win10上:
打开windbg,设置pdb路径,将hevd的pdb加进去(这里换了一个windbg版本,之前的一直导入不了pdb)
运行



点击browse all global symbols,看到如下情况就成功了

 
serial0.present = "TRUE"
serial0.fileType = "pipe"
serial0.fileName = "/private/tmp/com1"
serial0.tryNoRxLoss = "FALSE"
serial0.pipe.endPoint = "server"
serial0.present = "TRUE"
serial0.fileType = "pipe"
serial0.fileName = "/private/tmp/com1"
serial0.tryNoRxLoss = "FALSE"
serial0.pipe.endPoint = "server"

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 2
支持
分享
最新回复 (1)
雪    币: 328
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
师傅能留个联系方式么 我也发现复现漏洞缺的东西太多了,需要补一补。
2022-3-12 21:32
0
游客
登录 | 注册 方可回帖
返回
//