SQL Server xp_cmdshell

最新推荐文章于 2023-10-21 13:31:06 发布
最新推荐文章于 2023-10-21 13:31:06 发布
阅读量119 收藏
点赞数
文章标签: 操作系统 shell

xp_cmdshell 扩展存储过程将命令字符串作为OS命令 shell 执行,并以文本行的形式返回所有输出。由于xp_cmdshell 可以执行任何操作系统命令,所以一旦SQL Server管理员帐号(如sa)被攻破,那么攻击者就可以利用xp_cmdshell 在SQL Server中执行操作系统命令,如:创建系统管理员,也就意味着系统的最高权限已在别人的掌控之中。由于存在安全隐患,所以在SQL Server 2005中, xp_cmdshell 默认是关闭的。

   If you don't have a need to use the xp-cmdshell, then don't enable it. But if you have a need for it, then you must manually enable it. There are two different ways to enable xp-cmdshell in SQL Server 2005. Use can turn it on using the SQL Serve 2005 Surface Area Configuration tool, or you can use the sp_configure command.

   To turn on the xp-cmdshell using the SQL Serve 2005 Surface Area Configuration tool, follow these steps:

1) From Start --&gt Programs --&gt, select the Microsoft SQL Server 2005 program group and launch the Surface Area Configuration tool, which is found under the SQL Server 2005 Configuration Tools in the SQL Server 2005 menus.

2) Once the Surface Area Configuration tool has launched, select "Surface Area Configuration for Features" .

3) Next, click on xp-cmdshell in the tree menu at the left, and then click on "Enable xp-cmdshell", and then click on "Apply." Xp-cmdshell is now enabled.

   If you want to enable xp-cmdshell using sp_configure instead of using the Surface Area Configuration tool, run the following script. in Management Studio:

EXEC sp_configure 'show advanced options',1
GO
RECONFIGURE WITH OVERRIDE
GO
EXEC sp_configure 'xp-cmdshell', 1
GO
RECONFIGURE WITH OVERRIDE
GO
EXEC sp_configure 'show advanced options',0

GO

If you are upgrading from SQL Server 2000 to SQL Server 2005, the Upgrade Advisor will advise you to check whether or not you are using xp-cmdshell for SQL Server 2000, and then suggest that you enable it if it is still needed after the upgrade to SQL Server 2005.

You can only do it that way in SQL Server 2005 and SQL Server 2008.
In SQL Server 2000, it is always "on".
You can have control over it by permissioning like revoking permission to execute it from public.

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10640532/viewspace-586862/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10640532/viewspace-586862/

cuicuntu1021
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL入侵恢复xp_cmdshell方法总结
09-11
恢复xp_cmdshell SQL Server阻止了对组件 'xp_cmdshell' 的过程'sys.xp_cmdshell' 启用
SQL Server如何启用xp_cmdshell组件1
08-08
SQL Server中,`xp_cmdshell`是一个非常强大的系统存储过程,它允许数据库管理员执行操作系统级别的命令,并将结果返回到SQL Server环境中。然而,出于安全考虑,`xp_cmdshell`默认是禁用的,因为不恰当的使用可能...
SQLserver中的xp_cmdshell
ajsyipsc40270的博客
12-09 489
shell是用户与操作系统对话的一个接口,通过shell告诉操作系统让系统执行我们的指令 xp_cmdshellsqlserver中默认是关闭的存在安全隐患。 --打开xp_cmdshell EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;...
sql server在使用xp_cmdshell
aisajiang8962的博客
12-01 219
一、sql server在使用xp_cmdshell读取远程服务器上的文件时,要先将远程服务器的目录映射到本地 代码: exec master..xp_cmdshell 'net use P: \\192.0.0.1\c$\psw /user:username' 原来C盘的文件就已经映射到本地的P盘了 转载于:https://www.cnblogs.com/cangowu/p...
SQL SERVER-开启xp_cmdshell
网络资源
04-22 2838
SQL SERVER-开启xp_cmdshellsql server中执行cmd命令,报以下异常。 EXEC master.sys.xp_cmdshell 'dir c:/' Msg 15281, Level 16, State 1, Procedure xp_cmdshell, Line 1 [Batch Start Line 44] SQL Server blocked acces...
SQL Server提权之xp_cmdshell
不曾扬帆,何以至远方
07-17 4290
sql server提权之xp_cmdshell
SQL阻止组件xp_cmdshell过程解决方案
01-19
 SQLServer阻止了对组件'xp_cmdshell'的过程'sys.xp_cmdshell'的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用sp_configure启用'xp_cmdshell'。有关启用'xp_cmdshell'的详细...
SQL Server阻止了对组件xp_cmdshell过程的解决方案.docx
06-23
SQL Server阻止了对组件xp_cmdshell过程的解决方案。 错误描述:SQL Server阻止了对组件‘xp_cmdshell’的过程‘sys.xp_cmdshell’的访问。因为此组件已作为此服务嚣安全配置的一部分而被关闭。系统管理员可以通过...
xp_cmdshell开启与关闭
09-11
xp_cmdshell的主要功能是将SQL Server操作系统集成,允许管理员执行操作系统命令,如copy、move、del、mkdir等等。这样,管理员可以在SQL Server中执行操作系统命令,而不需要离开SQL Server环境。 xp_cmdshell的...
SQL Server 中启用xp_cmdshellsql语句
learn_2010的专栏
03-29 746
<br />----------启用xp_cmdshell存储过程----------------------<br /> --检查xp_cmdshell是否启动<br /> exec master..xp_cmdshell 'dir'<br /> go<br /> --启动xp_cmdshell存储过程<br /> exec sp_configure 'show advanced options',1<br /> go<br /> reconfigure<br /> go<br /> e
SQL SERVER – Enable xp_cmdshell using sp_configure
snow365的专栏
09-27 935
1. How to enable & check enable status of  xp_cmdshell command  --- To allow advanced options to be changed. EXEC sp_configure 'show advanced options', 1 GO -- To update the currently configured
mysql xp_cmdshell_SQL Server阻止了对组件xp_cmdshell过程的解决方案
weixin_30420175的博客
02-07 421
SQL Server禁止了对组件xp_cmdshell进程的解决方案毛病描写:SQL Server禁止了对组件‘xp_cmdshell’的进程‘sys.xp_cmdshell’的访问。由于此组件已作为此服务嚣安全配置的1部份而被关闭。系统管理员可以通过使用sp_configure启用‘xp_cmdshell’。有关启用‘xp_cmdshell’的详细信息,请参阅sQL帮助文件。【分析】:查询网络资...
Windows提权之Mssql(sql server)数据库提权(xp_cmdshell提权)
mrx56的博客
05-18 1118
利用大马或者webshell管理工具登录mssql数据库,执行以下sql命令检查xp_cmdshell是否存在。也可以利用SQL注入。如果xplog70.dll也删除了可以自己上传一个或者执行以下命令恢复。结果为1,则证明存在。当结果为0时,可以通过下列命令恢复。使用xp_cmdshel执行命令。
SqlServer xp_cmdshell 存储过程
weixin_33787529的博客
10-21 160
批量执行SQL文件 摘要:很多时候我们在做系统升级时需要将大量的.sql文件挨个执行,十分不方便。而且考虑到执行顺序和客服的操作方便性,能不能找到一种简单的方法来批量执行这些sql文件呢? 主要内容: 准备工作 利用osql/ocmd命令批量执行sql文件 使用master..xp_cmdshell存储过程调用osql/ocmd命令 总结 一、准备工作 既然...
数据库提权,Mssql xp_cmdshell提权
luSaMa的博客
07-06 1986
针对Mssql xp_cmdshell提权的学习实践,SQL Server2008/2012及以前版本基本都能用,但是2016或更高版本部分不能用,或者SA权限太低,导致无法提权。数据库提权的方式也不止有Mssql xp_cmdshell一种,之后更多的提权方式也是我更应该学习的地方。
xp_cmdshell的内容
swort_177的专栏
12-23 946
 xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串,并以文本行方式返回任何输出,是一个功能非常强大的扩展存贮过程。 一般情况下,xp_cmdshell对管理员来说也是不必要的,xp_cmdshell的消除不会对Server造成任何影响。 可以将xp_cmdshell消除删除方法为:到sql server的查询分析器中,试用存储过程sp_d
渗透测试---手把手教你SQL注入(12)---SQLsever利用SA权限执行系统命令--getshell
最新发布
weixin_52796034的博客
10-21 909
渗透测试---手把手教你SQL注入(10)---SQL注入拓展总结渗透测试---手把手教你SQL注入(11)---SQL注入拓展总结(SQLsever在线靶场实战)本节我们来讨论在SQLserver注入过程中的权限问题----
sql server xp_cmdshell注入
10-19
SQL Serverxp_cmdshell是一种在数据库中执行操作系统级命令的功能。然而,xp_cmdshell也被黑客滥用,用于进行SQL Server注入攻击。 xp_cmdshell注入是一种利用SQL Serverxp_cmdshell的漏洞,通过构造恶意SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值