聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

博主 Decoder 又分享了一篇如何挖到 Dropbox 0day 漏洞的文章。如下是原文翻译：

又是硬链接！是的！我们可以利用很多机会，结合不正确的权限设置和很多软件中的硬链接来提升权限。

在本文中，我将展示如何使用 DropBoxUpdater 服务作为普通的 Windows 用户获取系统权限。和往常一样，这个“漏洞”是我和“业务搭档”@padovah4ck一起发现并利用的。

注意：我将不会发布任何源代码，我的目的是分享知识而非工具。

DropBoxUpdater是 Dropbox Client 软件套件的一部分，该软件制造商表示它用于将客户端维护至最新状态：

该更新器以一种服务和2个调度任务的形式进行安装，实话说我也没搞懂为何要这么做……不过我们继续。需要记住的是，在标准的安装过程中，它们以系统身份运行，其中一个dropboxupdate 任务由任务调度程序每隔一小时运行。

每次触发 dropboxupdate 时，它都会在如下目录中写入日志文件：

c:\ProgramData\Dropbox\Update\Log

权限如下：

如你所见，用户可在该目录中增加文件。

日志文件的格式较为特殊：

而文件命名约定为：

DropboxUpdate.log-<YYYY>-<MM>-<DD>-<HH>-<MM>-<SEC>-<MILLISEC>-<PID>

用户可覆写并删除这些文件：

更有意思的是系统在这些文件上的 SetSecurity 调用：

是不是有点眼熟？如果你曾阅读过我之前的文章，就会知道可通过“硬链接”进行利用。

（上篇文章即一周前推送的《如何利用Printconfig dll：从 iPhone 到 NT AUTHORITY\SYSTEM 的真实案例》）

但这里有一个问题，我们必须“猜测”日志文件名称，它由确切的时间（包括毫秒）和更新器进程的 PID组成。

听起来好像很有挑战性！

经过测试后，我们提出如下解决方案：

• 确保“DropBoxUpdate.exe”进程未运行（作为标准用户：c:\>tasklist | find /I “dropboxupdate”）

• 通过将如下DLL 上的机会排它锁在启动时拦截DropBoxUpdate.exe 进程：

C:\ProgramFiles(x86)\Dropbox\Update\1.3.241.1\goopdate.dll

• 该进程将挂起，而由用户定义的回调函数将被触发

• 找到dropboxupdate 进程的PID。

• 通过此前提到的命名约定创建999个链接，执行“硬链接喷射”，把当前时间(hhmmss) +10秒(timeA) 作为起始点。

• 所有这些链接都指向我们想要拥有的目标文件。我们可以为一个文件设置的最大的硬链接数量为1024个。

• 等待，直到当前时间(hhmmss) 等于timeA。

• 释放锁定。

• 如果一切运行正常，那么我们应该匹配999毫秒范围内的正确的文件名称。

效果怎么样？我们必须进行测试，通常license.rtf 位于system32 文件夹中。为进行测试，你可以直接以管理员权限调用调度任务，而不必等到下一次为期一小时的运行期间。

有效果！现在你可以覆写系统具有完整权限的任意文件并获取最高权限了！

不过，我们可以再进一步……我们可以只通过 Dropbox Client 软件就获取系统 shell 吗？

是的，当然可以！还记得第二个调度任务吗？

这个任务以系统权限运行，并且可被任意用户登录时触发。在测试中我们注意到在登录时，DropboxCrashHandler.exe可被调用（只有当其它会话中未运行其它dropboxupdate 进程时）：

那我们的想法是什么？就是将DropboxCrashHandler.exe 设置为目标文件，启动exploit，用“恶意的”可执行文件覆写该文件，登出，再次登录，这样应该就能够触发可执行文件了！

可在如下地址查看可运行的POC。我想应该还有其它提权路径，请自行思考吧！

https://www.youtube.com/watch?v=kGAtRvm8KCQ&feature=youtu.be

边界条件

• 必须以“标准的”方式以管理员权限安装Dropbox。

• 我们通过最新的Windows Dropbox Client 发布版本（当时是87.4.138）进行了测试。

披露时间轴

9月18日，我们将问题告知 Dropbox。他们答复称已发现该问题的存在（但并非通过这些技术和完整的提升路径），表示将于10月末之前修复。如今90天的期限已过，于是我们发布本文。

可能的解决方案

在等待新版本（希望是修复版本）之时，用户可以删除Log文件夹上的“User”的“Createfiles” / write data”权限和“Create folders/append data”权限，应该没什么不好的情况发生。

旁注

通用的硬链接“滥用”将不再适用于未来的 Windows版本。在最新的“Insider”预览版本中，微软已经增加了一些补充检查，因此如果你没有目标文件的写入权限，那么当你尝试创建硬链接时会收到拒绝访问的错误消息提示。

漏洞补丁

Dropbox 尚未发布任何补丁。

不过0patch 平台的CEO Mitja Kolsek 表示，“我们在分析该问题后认为最可靠的解决方案是从DropBoxUpdater 中去除日志写入代码。这样做似乎既不影响DropBox 的功能也不影响更新进程，它只会让日志文件为空，可能导致DropBox 难以解决用户计算机上的故障问题（很显然不易受攻击比这个问题更重要）。”

0patch 平台已推出临时短期补丁，不过仅解决了易受攻击的部分，适用于运行系统时的内存中，因此无需重启机器即可打上补丁。不过要使用这个免费的微补丁，必须先安装并注册0patchAgent。

推荐阅读

如何利用Printconfig dll：从 iPhone 到 NT AUTHORITY\SYSTEM 的真实案例

原文链接

https://decoder.cloud/2019/12/18/from-dropboxupdater-to-nt-authoritysystem/

https://www.bleepingcomputer.com/news/security/dropbox-zero-day-vulnerability-gets-temporary-fix/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”，bounty 多多~