Pada saat aku melakukan pentesting dan mendapatkan initial access pada windows server terdapat perilaku yang aneh dimana pada directory C:/xampp/ dan subdirectory-nya tidak bisa dilakukan write file dengan extenstion tertentu seperti PHP, EXE, PS1 dan BAT ya mungkin saja extenstion tersebut dianggap berbahaya
Disini aku mencoba beberapa pendekatan dan mengira ini masalah permission directory, karena disini mendapatkan privilege sebagai administrator mudah saja untuk mengubah permission pada directory
Melakukan reverse shell connection dan melihat permission directory sempat bingung karena tidak ada pembatasan permission pada directory xampp di satu sisi untuk file dengan extenstion lain yang tidak berbahaya seperti .txt, .jpg dan semacamnya itu bisa dilakukan write
Berfikir sejenak dan terfikir menjalankan nmap untuk melihat service yang running.
Hoki sekali port 3389 RDP terbuka, karena kebanyakan windows server semacam ini menggunakan relay untuk menerima request yang masuk dari public network dan jarang sekali melakukan port forwarding 3389 melalui relay yang dijadikan reverse proxy
Langsung saja login RDP, karena privilege yang didapatkan yakni Administrator kita dengan mudah bisa membuat user baru menggunakan command net user
oke masuk, hal pertama yang ku lakukan yaitu langsung membuka console powershell dengan hak Administrator dan mencoba untuk masuk pada system account melalui PsExec. NT/SYTEM itu merupakan permission tertinggi pada windwos
Terlihat jika pada directory C:\inetpub kita bisa execute dan write .exe file
Wah tetap saja padahal disini kita sudah memakai system account dan juga owner directory itu milik system, ada yang ga beres sepertinya
Program yang terinstall juga sangat sedikit yang hanya dipakai keperluan deployment dan tidak menunjukkan adanya antivirus third-party software
Dan disini aku langsung coba cek dari event log pada windows untuk identifikasi lebih lanjut
Indikasi dari event log application terdapat warning dengan deskripsi file group which is not permitted on the system. dan pada bagian source yang berasal dari service SRMSVC
SRMSVC itu merupakan source event log yang berasal dari FSRM(File Server Resource Manager), FSRM sendiri dipakai untuk management filesystem pada windows server. sekarang kita lihat konfigurasi registry dari SRMSVC pada path HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srmsvc\
Tidak ada konfigurasi khusus yang terdapat pada hive registry SRMSVC dan disini sempat stuck sedikit dan lalu ingat jika SRMSVC merupakan source log pada FSRM yang harusnya konfigurasi terletak pada service FSRM itu sendiri
Jika di lihat dari basic setting FSRM tidak ada rules khusus tapi jika kita lihat pada konfigurasi file screen dengan command Get-FsrmFileScreen
ya itu dia, jadi disini ada rule khusus untuk ignore atau menolak file berbahaya dengan keterangan Block Executable Files jadi disini bisa langsung saja dilakukan disable maupun remove atau kita juga bisa melihat rule FSRM ini pada server manager
Disini langsung ku lakukan remove rule menggunakan powershell
Setelah itu lalu kita coba write .php file pada directory xampp
Dan itu berhasil, terlihat disini tidak ada error dan kita bisa menulis suatu php file pada directory. Mungkin cukup disini cerita singkat ku pada saat melakukan pentesting dan disini aku hanya sekedar sharing yang mungkin berguna saat kalian mengalami hal yang sama, sekian happy hacking guyss 🙂
“Tidak ada yang akan berhasil kecuali kau melakukannya.” -Maya Angelou