使用SQL xp_cmdshell或是xp_fileexist指令時,無法存取遠端資源

最新推荐文章于 2021-12-22 11:08:56 发布
最新推荐文章于 2021-12-22 11:08:56 发布
阅读量782 收藏
点赞数
文章标签: xp sql sql server security system file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haipingma/article/details/5555923
版权

您可以參閱以下網址:

http://msdn.microsoft.com/en-us/library/ms190359.aspx

 

預設,使用者執行此預存程序時,執行身分會是SQL Server的服務啟動帳戶,您必須讓此啟動帳戶擁有遠端存取資源的權限。

 

您可以使用以下方式檢查:

方式1

使用xp_cmdshell 'whoami.exe'語法:

 

方式2 透過服務管理員,檢查SQL Service啟動帳戶

1.       開始 > 執行,輸入services.msc

 

2.       找到SQL Server服務啟動帳戶,右鍵 > 內容

 

3.       在登入頁籤中,您可以看到啟動帳戶

 

三、  使用SQL 2008 xp_fileexist指令時,無法執行

幫您做了一下Research,同xp_cmdshell時,執行的帳戶亦是SQL服務啟動帳戶,您必須確認該帳戶具有遠端存取的權限:

 

若您使用者因非system administrator,您可以參閱以下workaround,讓一般使用者可以透過SQL 2005/2008Impersonate方式,執行此指令:

The design of xp_fileexist has been changed in SQL Server 2005. In SQL Server 2005, when the xp_fileexist is called, it will check the security context. If you are the member of sysadmin, the stored procedure will return the correct result. However, when you are not the member of sysadmin, the stored procedure will return False no matter what the file exist or not. This change is by design. Xp_fileexist is an non-document stored procedure. That means SQL Server developer does not expect the end user to use this kind of stored procedure. Due to the security concern, the security has been enhanced and the usage of xp_fileexist (including some other stored procedure of the same kind) has been restricted for system administrator of SQL Server only.

create proc [dbo].[sp_file_exists]

( @filename nvarchar(128) )

with execute as 'dbo'

as

begin

exec master..xp_fileexist @filename

end

haipingma
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL中用系统存储过程xp_fileexist来判断文件是否存在
weixin_30483013的博客
08-15 691
一、xp_fileexist调用说明1、xp_fileexist "c:\autoexec.bat" File Exists File is a Directory Parent Directory Exists ----------- ------------------- ----------------------- 1 0...
master..xp_fileexist
weixin_30823683的博客
12-08 156
set @sql='E:\temp.dbf'create table #tb(a bit,b bit,c bit) insert into #tb exec master..xp_fileexist @sql master..xp_fileexist 返回的三个列, 分别代表 文件已存在 文件是目录 父目录已存在--------- -------- ---------0 ...
SQL SERVER扩展存储过程xp_fileexist
brouse8079的专栏
08-29 1403
exec master..xp_fileexist   返回的三个列,   分别代表         文件已存在   文件是目录   父目录已存在     -----   -----   ------     0           0           1         (1   行受影响)    
sql 判断文件是否存在
teiunhi的专栏
08-06 1266
<br />转自:http://topic.csdn.net/u/20100805/15/4ff2c41f-92cf-4e77-9f2c-b91cc5fffab0.html?50703<br /> <br />一、xp_fileexist调用说明 <br /><br />1、 <br />xp_fileexist "c:/autoexec.bat" <br /><br />FileExistFileis a Directory   Parent Directory Exists<br />------
SQL入侵恢复xp_cmdshell方法总结
09-11
### SQL入侵恢复xp_cmdshell方法总结 #### 一、引言 在SQL Server环境中,`xp_cmdshell`是一个强大的扩展存储过程,它允许用户通过SQL Server执行操作系统命令。然而,出于安全考虑,此功能默认是禁用的。本文将...
SQL Server阻止了对组件xp_cmdshell过程的解决方案.docx
06-23
总的来说,理解和正确使用`xp_cmdshell`是SQL Server管理中的一个重要环节,尤其是在处理跨系统边界的任务时。但始终要牢记,安全永远是首要考虑的因素。在启用和使用`xp_cmdshell`时,务必谨慎行事。
SQL Server如何启用xp_cmdshell组件1
08-08
SQL Server中,`xp_cmdshell`是一个非常强大的系统存储过程,它允许数据库管理员执行操作系统级别的命令,并将结果返回到SQL Server环境中。然而,出于安全考虑,`xp_cmdshell`默认是禁用的,因为不恰当的使用可能...
SQL阻止组件xp_cmdshell过程解决方案
01-19
 SQLServer阻止了对组件'xp_cmdshell'的过程'sys.xp_cmdshell'的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用sp_configure启用'xp_cmdshell'。有关启用'xp_cmdshell'的详细...
xp_cmdshell开启与关闭
09-11
这将删除xp_cmdshell扩展存储过程,从而禁止xp_cmdshell使用。 如果需要恢复xp_cmdshell,可以使用以下命令: ``` Use Master Exec sp_addextendedproc N'xp_cmdshell', N'xplog70.dll' Go ``` 这将恢复xp_cmd...
T-sql检测文件夹是否存在
b911585311的博客
08-22 186
1.T-sql语句检测文件夹是否存在: 方法一: declare @i intset @i = 0exec xp_fileexist 'mysql E:\mysql' --利用存储过程检测文件夹存在性set @i = @i + @@errorif(@i < 1) begin print'该文件夹不存在,建立中...' ExEc xp_cmdshel...
SQL SERVER2008判断文件夹是否存在并创建文件夹
weixin_30387423的博客
11-28 361
原文地址:https://www.cnblogs.com/iiwen/p/7650118.html DECLARE @PATH VARCHAR(255) --路径 DECLARE @DATE VARCHAR(255) --日期 例如: 20171011 SET @DATE=CAST(DATEPART(YYYY,GETDATE()) AS VARCHAR)+CAST(DATEPA...
SQLServer中的系统表,存储过程和函数的功能及应用
weixin_33672109的博客
06-08 167
SQLServer中的系统表,存储过程和函数的功能及应用 2009-05-31 15:17 sp_detach_db sp_setnetnamesp_dropdevice sp_settriggerordersp_dropextendedproc   sp_spaceusedsp_dropextendedproperty sp_tableoptionsp_dropmessage s...
SqlServer危险存储过程
weixin_47620767的博客
12-22 1058
SqlServer危险存储过程
判断服务器或者硬盘中文件是否存在,并创建文件
weixin_30881367的博客
03-12 125
文章出自http://dengzebo.blog.163.com/blog/static/1886740620092112561255/ WinForm判断远程Web服务器文件是否存在 private bool GetServerFileExists(string URL) { try...
sql语句创建文件夹、判断文件夹、创建数据库、表、
weixin_34268169的博客
07-27 415
代码USE master;GOif  exists (select * from sys.databases where name = 'TestDB')drop database TestDB--创建文件夹EXEC sp_configure 'show advanced options', 1GORECONFIGUREGOEXEC sp_configure 'xp_cmdshell', 1REC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值