SetupHijack es una herramienta que automatiza la explotación de condiciones de carrera y la gestión insegura de ficheros en procesos de instalación y actualización en Windows. Su objetivo son los escenarios en los que instaladores o actualizadores con privilegios depositan artefactos —por ejemplo en %TEMP% u otras rutas con permisos abiertos— para darles el "cambiazo":
Vigila periódicamente (polling) directorios habituales donde los instaladores escriben archivos temporales.
-
Cuando detecta un objetivo, sustituye el archivo por un binario suministrado por el operador (guardando opcionalmente una copia de seguridad).
-
Si el instalador o actualizador ejecuta el archivo sustituido antes de comprobar su integridad, el payload corre con los privilegios del instalador (p. ej. SYSTEM o Administrador).
-
Mantiene listas para evitar re-procesar los mismos ficheros y genera logs de actividad para auditoría del experimento.
La herramienta opera sin privilegios elevados y actúa desde una cuenta de usuario comprometida o con acceso normal.
Uso
Compilar:
nmake PAYLOAD=c:\Path\to\your\payload.exeOpciones:
SetupHijack.exe -notemp # Disable scanning %TEMP% SetupHijack.exe -noappdata # Disable scanning %APPDATA% SetupHijack.exe -nodownloads # Disable scanning %USERPROFILE%\Downloads SetupHijack.exe clean # Clean mode (restores .bak backups in all enabled locations) SetupHijack.exe verbose # Verbose mode (log all actions) SetupHijack.exe <payload.exe> # Use specified payload for .exe (unless argument is a recognized option)
- Ejecuta SetupHijack.exe antes o durante un proceso de instalación/actualización con privilegios.
- De forma predeterminada, la herramienta analiza todas las ubicaciones de descarga comunes: %TEMP%, %APPDATA% y %USERPROFILE%\Downloads.
- Puede sdeshabilitar cualquier ubicación con los indicadores -notemp, -noappdata o -nodownloads.
- El indicador "clean" restaura las copias de seguridad en todas las ubicaciones habilitadas. El indicador "verbose" registra todas las acciones.
- Para escalada remota, utiliza shadow.exe o herramientas similares en Terminal Services.
Comentarios
Publicar un comentario