De %TEMP% a SYSTEM: secuestro en caliente con SetupHijack

SetupHijack es una herramienta que automatiza la explotación de condiciones de carrera y la gestión insegura de ficheros en procesos de instalación y actualización en Windows. Su objetivo son los escenarios en los que instaladores o actualizadores con privilegios depositan artefactos —por ejemplo en %TEMP% u otras rutas con permisos abiertos—  para darles el «cambiazo»:

• Vigila periódicamente (polling) directorios habituales donde los instaladores escriben archivos temporales.

• Cuando detecta un objetivo, sustituye el archivo por un binario suministrado por el operador (guardando opcionalmente una copia de seguridad).

• Si el instalador o actualizador ejecuta el archivo sustituido antes de comprobar su integridad, el payload corre con los privilegios del instalador (p. ej. SYSTEM o Administrador).

• Mantiene listas para evitar re-procesar los mismos ficheros y genera logs de actividad para auditoría del experimento.

La herramienta opera sin privilegios elevados y actúa desde una cuenta de usuario comprometida o con acceso normal.

Uso

Compilar:

nmake PAYLOAD=c:Pathtoyourpayload.exe

Opciones:

SetupHijack.exe -notemp          # Disable scanning %TEMP%
SetupHijack.exe -noappdata       # Disable scanning %APPDATA%
SetupHijack.exe -nodownloads     # Disable scanning %USERPROFILE%Downloads
SetupHijack.exe clean            # Clean mode (restores .bak backups in all enabled locations)
SetupHijack.exe verbose          # Verbose mode (log all actions)
SetupHijack.exe <payload.exe>    # Use specified payload for .exe (unless argument is a recognized option)